NIS-2-Richtlinie: Dis­kus­si­ons­pa­pier zu Rege­lun­gen für die Wirtschaft

Die Uhr tickt. Ab dem 18. Okto­ber 2024 müs­sen die Mit­glied­staa­ten die Anfor­de­run­gen der NIS-2-Richtlinie anwen­den. Die Richt­li­nie führt zu einer erheb­li­chen Aus­wei­tung unter­neh­mens­be­zo­ge­ner Anfor­de­run­gen an Cyber­si­cher­heit. Den­noch stockt in Deutsch­land der­zeit die Umset­zung. Gerüch­ten zufol­ge gibt es Unstim­mig­kei­ten in der Res­sort­ab­stim­mung. Letz­ter Stand der Umset­zung ist ein Dis­kus­si­ons­pa­pier des Bun­des­mi­nis­te­ri­ums für Inne­res, Bau­en und Hei­mat aus dem ver­gan­ge­nen Jahr. Die­ses tritt neben zwei bereits exis­tie­ren­de Refe­ren­ten­ent­wür­fe. Die Ent­wür­fe unter­schei­den sich teil­wei­se von­ein­an­der, lie­fern jedoch zumin­dest Anhalts­punk­te dafür, auf wel­che Rechts­la­ge sich Unter­neh­men in Zukunft ein­stel­len müssen.

Locke­rung der Überprüfungspflichten

Die Umset­zung der NIS-2-Richtlinie durch Ver­ant­wort­li­che soll nach den deut­schen Geset­zes­ent­wür­fen regel­mä­ßig über­prüft wer­den. Die erfor­der­li­chen Nach­wei­se kön­nen durch Sicher­heits­au­dits, Prü­fun­gen oder Zer­ti­fi­zie­run­gen erbracht wer­den. Nach den bei­den Refe­ren­ten­ent­wür­fen wären alle beson­ders wich­ti­gen Ein­rich­tun­gen ver­pflich­tet gewe­sen, dem Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) im Zwei-Jahres-Turnus ent­spre­chen­de Nach­wei­se vor­zu­le­gen. Die­se Vor­ga­ben wur­den durch das Dis­kus­si­ons­pa­pier nun ent­schärft. Das Inter­vall zur Erbrin­gung von Nach­wei­sen wur­de auf drei Jah­re ver­län­gert und betrifft zudem nur noch Betrei­ber kri­ti­scher Anla­gen, die nur eine Teil­men­ge der beson­ders wich­ti­gen Ein­rich­tun­gen bil­den. Die­se Aus­ge­stal­tung ist jedoch nicht zwin­gend, da die NIS-2-Richtlinie kei­ne regel­mä­ßi­ge Ver­pflich­tung zum Erbrin­gen von Nach­wei­sen vor­sieht. Sie ver­pflich­tet die Mit­glied­staa­ten ledig­lich dazu, den Auf­sichts­be­hör­den die Befug­nis ein­zu­räu­men, ent­spre­chen­de Nach­wei­se anzufordern.

Anwen­dungs­be­reich

Das Dis­kus­si­ons­pa­pier ver­ein­facht sowohl in Bezug auf die Refe­ren­ten­ent­wür­fe als auch auf den Richt­li­ni­en­text die Defi­ni­ti­on des Anwen­dungs­be­reichs, indem nun die Schwel­len­wer­te für klei­ne und mitt­le­re Unter­neh­men aus­ge­schrie­ben wer­den und, anders als im Richt­li­ni­en­text, kein umständ­li­cher Ver­weis auf die KMU-Definition der EU-Kommission erfolgt. In Anla­ge 1 fin­det sich bei der Auf­lis­tung der Sek­to­ren mit hoher Kri­ti­k­ali­tät – anders als noch im Refe­ren­ten­ent­wurf – die Ver­si­che­rungs­bran­che nicht mehr. Die­se ist auch in der NIS-2-Richtlinie nicht als ent­spre­chen­der Sek­tor genannt, so dass die Mit­glied­staa­ten frei über ihre Ein­be­zie­hung ent­schei­den kön­nen. Aller­dings fin­det sich in Anla­ge 1 eine Über­schrift „Finanz- und Ver­si­che­rungs­we­sen“, ohne dass Ver­si­che­run­gen in der Auf­lis­tung vor­kom­men. Dies legt ein Redak­ti­ons­ver­se­hen nahe. Inso­weit soll­te sich auch die Ver­si­che­rungs­bran­che in Deutsch­land auf die bal­di­ge Umset­zung der Vor­ga­ben einstellen.

Aus­blick

Auch wenn die Nach­weis­pflicht erst drei Jah­re nach Inkraft­tre­ten des Umset­zungs­ge­set­zes greift, müs­sen sich die Unter­neh­men zukünf­tig dar­auf ein­stel­len, regel­mä­ßig Nach­wei­se über die Umset­zung der gefor­der­ten Risi­ko­ma­nage­ment­maß­nah­men erbrin­gen zu müs­sen. Zwi­schen­zeit­lich hat auch ein Werk­statt­ge­spräch zum Dis­kus­si­ons­pa­pier statt­ge­fun­den. Aus den dazu bekannt gewor­de­nen Unter­la­gen geht her­vor, dass das BMI der­zeit einen zwei­ten Refe­ren­ten­ent­wurf erar­bei­tet, der dann in die zwei­te Res­sort­ab­stim­mung gehen wird. Wesent­li­che Abwei­chun­gen von der Richt­li­nie sind jedoch nicht zu erwar­ten. Die Umset­zung in deut­sches Recht soll bis zum 17. Okto­ber 2024 abge­schlos­sen sein, die neu­en Anfor­de­run­gen sol­len dann ohne Über­gangs­frist ab dem 18. Okto­ber 2024 gelten.