Am 7. Mai 2024 hat das Bundesministerium des Innern (BMI) den ersten offiziellen Entwurf des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) veröffentlicht und gleichzeitig die Verbändeanhörung gestartet. Trotz einiger Verbesserungen hat der Gesetzgeber die Chance verpasst, Rechtsklarheit für die Wirtschaft zu schaffen. Unternehmen werden weiterhin vor kaum lösbare Aufgaben gestellt.
Stellungnahme zum Referentenentwurf
Wie unsere ausführliche Stellungnahme zeigt, enthält der neue Referentenentwurf im Vergleich zur Vorversion zwar einige Verbesserungen, löst aber die grundlegenden Probleme der NIS-2-Richtlinie nicht. Der deutsche Gesetzgeber hat einige Chancen verpasst, Rechtsklarheit zu schaffen. Statt eines politischen Tauziehens zwischen den Ministerien und einer Verquickung des NIS2UmsuCG mit anderen politischen Forderungen sind im weiteren Gesetzgebungsverfahren nunmehr Pragmatismus und eine Klärung der offenen Rechtsfragen auf europäischer Ebene angezeigt. Ob dies gelingt, bleibt abzuwarten.
Wie geht es weiter?
Mit der Veröffentlichung des offiziellen Referentenentwurfs wurde die Verbändeanhörung gestartet. Stellungnahmen können bis zum 28. Mai 2024 eingereicht werden. Am 3. Juni 2024 findet eine Anhörung statt. Bis zum 17. Oktober 2024 bleibt allerdings nur noch wenig Zeit. Es ist sehr unwahrscheinlich, dass der Gesetzesentwurf bis dahin den Bundestag passiert, vom Bundespräsidenten unterzeichnet und im Bundesgesetzblatt veröffentlicht wird. Solange die NIS-2-Richtlinie nicht in nationales Recht umgesetzt ist, ergeben sich aus ihr keine Verpflichtungen für Unternehmen.
Erste Hilfe für Unternehmen
Betroffene Unternehmen müssen die Anforderungen in Deutschland erst erfüllen, wenn das NIS2UmsuCG im Bundesgesetzblatt veröffentlicht wurde. Da die Erfüllung der neuen Anforderungen jedoch mit erheblichem Aufwand verbunden ist, sollten Unternehmen frühzeitig mit der Umsetzung beginnen. Dabei kann den Unternehmen nur empfohlen werden, sich am Wortlaut der NIS-2-Richtlinie selbst zu orientieren. Sofern im Rahmen des Gesetzgebungsprozesses keine Änderungen erfolgen, dürfte der einen oder anderen Regelung des NIS2UmsuCG nur eine kurze Halbwertszeit beschieden sein. Auch zeigt sich schon jetzt, dass die NIS-2-Richtlinie das Ziel, eine europaweite Harmonisierung des Cybersicherheitsrechts zu erreichen, völlig verfehlt.
Gerne unterstützen wir Sie bei Fragen zur Betroffenheit durch die NIS-2-Richtlinie und zur Umsetzung der Anforderungen in Ihrem Unternehmen. Unsere Kritik am Referentenentwurf zum NIS2UmsuCG werden wir außerdem im Rahmen der Verbändeanhörung an den Gesetzgeber herantragen und sind zuversichtlich, dass die Interessen der Wirtschaft noch hinreichend Berücksichtigung finden werden. Wenden Sie sich gerne direkt an dbu@reuschlaw.de, wenn Sie Punkte haben, die wir ebenfalls in die Verbändeanhörung einbringen können.
Weitere Informationen finden Sie hier
- Ausführliche Stellungnahme vom 10.05.2024
- Kostenfreier Quick-Check zur Betroffenheit von der NIS-2-Richtlinie
- Artikel auf LinkedIn: Was gilt, wenn Deutschland die Richtlinie nicht (rechtzeitig) umsetzt?
- Onepager: NIS‑2 Compliance für Unternehmen