Wie sieht es eigentlich mit Umsetzung der NIS-2-Richtlinie der Europäischen Union in Deutschland aus? Eigentlich hätte die bis Oktober 2024 umgesetzt werden müssen. Nachfolgend eine kurzer Überblick über den Status des Vorhabens und einige Einschätzung des neuesten Referentenentwurfs des zuständigen Ministeriums.
Anzeige
Was steckt hinter NIS-2?
Die NIS-2-Richtlinie (NIS steht für Network and Information Security) der Europäischen Union legt verbindliche Cyber Security-Mindeststandards für Betreiber Kritischer Infrastrukturen fest.
Ziel der Richtlinie ist die Stärkung von Risiko- und Sicherheitsvorfallmanagement und der Zusammenarbeit. NIS-2 bildet die Grundlage für Risikomanagementmaßnahmen und Meldepflichten im Bereich Cybersicherheit in allen Sektoren, die unter die Richtlinie fallen. Dazu gehören etwa Energie, Verkehr, Gesundheit und digitale Infrastruktur.
Was ist der aktuell Stand in Deutschland?
Die EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit (NIS-2), wurde bereits 2022 beschlossen und im Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht.
NIS-2 trat bereits am 16. Januar 2023 offiziell EU-weit in Kraft, die Mitglieder der EU hätten NIS-2 bis Oktober 2024 in nationales Recht umsetzen müssen. In Deutschland erfolgt die Umsetzung durch das NIS-2UmsuCG.
Anzeige
Daher hätten von dieser Richtlinie betroffene Unternehmen die Maßnahmen bis Oktober 2024 umsetzen müssen. IT-Verantwortliche waren aufgefordert zu handeln und zu prüfen, ob sie mit der Unternehmens-IT unter die NIS-2-Richtlinie fallen. Ich hatte hier im Blog mehrfach über die NIS-2-Richtlinie berichtet (siehe Links am Artikelende). Nachfolgende Folie zum Geltungsbereich stammt auch dem Beitrag NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden.
Wer fällt unter NIS-2? Quelle: DV-Kontor, zum Vergrößern klicken
Problem bei NIS-2: Die Umsetzung durch das NIS-2UmsuCG ist durch den Bruch der vorherigen Regierungskoalition niemals von Bundestag und Bundesrat für Deutschland als Gesetz verabschiedet worden.
Die EU-Kommission hat, gemäß dieser Mitteilung, bereits Ende November 2024 ein Vertragsverletzungsverfahren gegen Deutschland und weitere 22 Mitgliedstaaten wegen fehlender Umsetzung der NIS-2-Richtlinie eingeleitet. Zum 7. Mai 2025 hat die EU-Kommission die zweite Stufe dieses Vertragsverletzungsverfahrens eingeleitet. Als betroffener Staat hat Deutschland zwei Monate Zeit, NIS-2 vollständig gesetzlich umzusetzen und dies der Kommission zu melden. Die EU-Kommission wird Deutschland andernfalls wegen Nichtumsetzung vor dem Europäischen Gerichtshof verklagen. Für Deutschland könnte es teuer werden, wenn eine Vertragsverletzungsstrafe verhängt wird.
Rheinland-Pfalz hat bereits am 8. Oktober 2024 eine Verwaltungsvorschrift zur Umsetzung der NIS-2-Richtlinie in der Landesverwaltung beschlossen, wie man hier mitteilte. Sie gilt für Einrichtungen der öffentlichen Verwaltung in Rheinland‑Pfalz, die nach einer risikobasierten Bewertung Dienste erbringen, deren Störung erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Tätigkeiten haben könnte.
Neuer NIS-2 Referentenentwurf bekannt geworden
Die derzeitige Bundesregierung befindet sich in einer Gesetzesvorbereitung, um NIS-2 in nationales Recht umzusetzen. Die Tage wurde der aktuelle Referentenentwurf des BMI von Ende Juni 2025 bekannt. Die AG KRITIS hat sich hier zum aktuellen Referentenentwurf geäußert. Ich habe die 200 Seiten nicht durchgeackert – aber es gibt Medien, die das getan haben.
Prof. Dr. Dennis-Kenji Kipker weist in obigem Tweet auf seine Auswertung des Referentenentwurfs hin, die bei it-daily.de erschienen ist. Spannender fand ich aber den Artikel von heise mit einer Differenzanalyse zum vorherigen Entwurf. Kernpunkte in Kompaktform:
- Der Geltungsbereich wurde reduziert, so dass Unternehmen mit nur unwesentlichem Geschäftsanteil im KRITIS-Bereich nicht unter die NIS-2-Richtlinie fallen.
- Anhörungsrechte wurden reduziert, so dass Wissenschaft, KRITIS-Betreiber und ihre Verbände nicht mehr zu bestimmten Aspekten angehört werden müssen.
- Die Meldung eines wichtigen Sicherheitsvorfalls wird neu geregelt, eine bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime
der NIS-2-Richtlinie ersetzt. - BSI (Bundesamt für Sicherheit in der Informationstechnik) und BnetzA (Bundesnetzagentur) müssen nun zusammen arbeiten. Der IT-Grundschutz des BSI erhält Gesetzesrang.
Die Details lassen sich dem heise-Beitrag entnehmen. Die nächsten Schritte nach der Abstimmung des Referentenentwurfs dürften in einem Kabinettsbeschluss und der darauf folgenden Einleitung der Abstimmung im deutschen Bundestage und anschließend im Bundesrat bestehen. Wann das NIS-2UmsuCG im Bundesanzeiger als Gesetz veröffentlicht wird, ist m.W. bisher offen.
Ähnliche Artikel:
NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden
Praxisleitfaden zur NIS-2-Umsetzung
BSI will Unternehmen bei NIS-2 unterstützen
Kommunal-IT und Informationssicherheitsbeauftragte (ISBs) in der NIS-2-Falle?
Anzeige
Der Entwurf ist 'unverstehbar', Kommentar (1) spricht Bände.
Wo sind eigentlich hier die ständigen Mahner mit ihrem 'wir müssen Demokratie und Rechtsstaatlichkeit schützen', wenn es um kafkaeske Gesetzesmaterien geht, die vermutlich nur von einem Bruchteil der abstimmenden Parlamentarier auch nur ansatzweise verstanden werden?
–
(1) https://www.heise.de/forum/heise-online/Kommentare/NIS2-Aktueller-Referentenentwurf-geleakt/NIS2-ich-weiss-das-ich-nichts-weiss/posting-45282191/show/