Die Uhr tickt. Ab dem 18. Oktober 2024 müssen die Mitgliedstaaten die Anforderungen der NIS-2-Richtlinie anwenden. Die Richtlinie führt zu einer erheblichen Ausweitung unternehmensbezogener Anforderungen an Cybersicherheit. Dennoch stockt in Deutschland derzeit die Umsetzung. Gerüchten zufolge gibt es Unstimmigkeiten in der Ressortabstimmung. Letzter Stand der Umsetzung ist ein Diskussionspapier des Bundesministeriums für Inneres, Bauen und Heimat aus dem vergangenen Jahr. Dieses tritt neben zwei bereits existierende Referentenentwürfe. Die Entwürfe unterscheiden sich teilweise voneinander, liefern jedoch zumindest Anhaltspunkte dafür, auf welche Rechtslage sich Unternehmen in Zukunft einstellen müssen.
Lockerung der Überprüfungspflichten
Die Umsetzung der NIS-2-Richtlinie durch Verantwortliche soll nach den deutschen Gesetzesentwürfen regelmäßig überprüft werden. Die erforderlichen Nachweise können durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erbracht werden. Nach den beiden Referentenentwürfen wären alle besonders wichtigen Einrichtungen verpflichtet gewesen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) im Zwei-Jahres-Turnus entsprechende Nachweise vorzulegen. Diese Vorgaben wurden durch das Diskussionspapier nun entschärft. Das Intervall zur Erbringung von Nachweisen wurde auf drei Jahre verlängert und betrifft zudem nur noch Betreiber kritischer Anlagen, die nur eine Teilmenge der besonders wichtigen Einrichtungen bilden. Diese Ausgestaltung ist jedoch nicht zwingend, da die NIS-2-Richtlinie keine regelmäßige Verpflichtung zum Erbringen von Nachweisen vorsieht. Sie verpflichtet die Mitgliedstaaten lediglich dazu, den Aufsichtsbehörden die Befugnis einzuräumen, entsprechende Nachweise anzufordern.
Anwendungsbereich
Das Diskussionspapier vereinfacht sowohl in Bezug auf die Referentenentwürfe als auch auf den Richtlinientext die Definition des Anwendungsbereichs, indem nun die Schwellenwerte für kleine und mittlere Unternehmen ausgeschrieben werden und, anders als im Richtlinientext, kein umständlicher Verweis auf die KMU-Definition der EU-Kommission erfolgt. In Anlage 1 findet sich bei der Auflistung der Sektoren mit hoher Kritikalität – anders als noch im Referentenentwurf – die Versicherungsbranche nicht mehr. Diese ist auch in der NIS-2-Richtlinie nicht als entsprechender Sektor genannt, so dass die Mitgliedstaaten frei über ihre Einbeziehung entscheiden können. Allerdings findet sich in Anlage 1 eine Überschrift „Finanz- und Versicherungswesen“, ohne dass Versicherungen in der Auflistung vorkommen. Dies legt ein Redaktionsversehen nahe. Insoweit sollte sich auch die Versicherungsbranche in Deutschland auf die baldige Umsetzung der Vorgaben einstellen.
Ausblick
Auch wenn die Nachweispflicht erst drei Jahre nach Inkrafttreten des Umsetzungsgesetzes greift, müssen sich die Unternehmen zukünftig darauf einstellen, regelmäßig Nachweise über die Umsetzung der geforderten Risikomanagementmaßnahmen erbringen zu müssen. Zwischenzeitlich hat auch ein Werkstattgespräch zum Diskussionspapier stattgefunden. Aus den dazu bekannt gewordenen Unterlagen geht hervor, dass das BMI derzeit einen zweiten Referentenentwurf erarbeitet, der dann in die zweite Ressortabstimmung gehen wird. Wesentliche Abweichungen von der Richtlinie sind jedoch nicht zu erwarten. Die Umsetzung in deutsches Recht soll bis zum 17. Oktober 2024 abgeschlossen sein, die neuen Anforderungen sollen dann ohne Übergangsfrist ab dem 18. Oktober 2024 gelten.
zurück