Die Bundesregierung hat umfassende Änderungen des IT-Sicherheitsgesetzes beschlossen. Der Entwurf des Gesetzes zur Umsetzung von NIS2 und zur Stärkung der Cybersicherheit (NIS2UmstG) geht nun in den Bundestag. Es ist an der Zeit, sich eingehender mit den neuen Anforderungen an die Cybersicherheit zu befassen, wenn diese für Sie relevant sind. Aber wer fällt unter NIS2?
Kaum ein anderes Thema steht derzeit so oft im Mittelpunkt aktueller Sicherheitskonferenzen und nimmt so viel Raum in der Berichterstattung über IT-Sicherheit ein wie die neue Cybersicherheitsrichtlinie NIS2. Bisher mussten jedoch alle Präsentationen und Berichte mit dem Hinweis enden, dass die deutsche Umsetzung von NIS2 noch aussteht, was bedeutet, dass die genauen Anforderungen für betroffene Unternehmen und Institutionen noch nicht vollständig bekannt sind.
Da es sich bei der NIS2-Richtlinie um eine EU-Direktive handelt, muss diese zunächst in nationales Recht umgesetzt werden, bevor sie angewendet werden kann. Im Gegensatz dazu ist beispielsweise die Datenschutz-Grundverordnung (DSGVO) eine EU-Verordnung und gilt daher direkt.
Nun hat die Bundesregierung den von der Bundesinnenministerin Nancy Faeser vorgelegten Entwurf zur Stärkung der Cybersicherheit gebilligt. Dies bedeutet, dass die zweite EU-Richtlinie über die Sicherheit von Netzwerk- und Informationssystemen (NIS2) in deutsches Recht umgesetzt wird.
Der Gesetzentwurf muss nun in den Bundestag. Bitkom-Präsident Dr. Ralf Wintergerst betont: „Wichtige Details müssen noch im anstehenden parlamentarischen Verfahren geklärt werden. Es fehlt an einer Abstimmung mit dem KRITIS-Dachgesetz, dessen Umsetzung ebenfalls derzeit stockt. Der Präsident des Bitkoms hebt konkrete Änderungsbedarfe hervor: „Physische Sicherheit und Cybersicherheit müssen gemeinsam betrachtet und angegangen werden; Unternehmen sollten in der Lage sein, einheitliche Begriffsdefinitionen und Meldekanäle zu nutzen. An einigen Stellen fehlen auch notwendige Klarstellungen. Während der geplanten Prüfung von Produkten und Systemen durch das Bundesamt für Sicherheit in der Informationstechnik sollte auch das Interesse der Hersteller am Schutz sensibler Geschäftsgeheimnisse gewahrt bleiben.“
Es bestehen weiterhin Unklarheiten bezüglich der spezifischen Anforderungen von NIS2. In Deutschland fehlt den Unternehmen die dringend benötigte Rechtssicherheit aufgrund der Verzögerungen bei der Ressortabstimmung über den Gesetzentwurf, so Bitkom. Nun ist klar, dass die geplante Umsetzungsfrist im Oktober nicht eingehalten werden kann. Daher ist es umso wichtiger, dass das Gesetz zügig umgesetzt wird und spätestens Anfang 2025 in Kraft tritt, betont der Digitalverband.
Insbesondere kleine und mittlere Unternehmen benötigen Unterstützung, um festzustellen, ob und wie sie vom Gesetz betroffen sind und welche Maßnahmen sie ergreifen müssen, sagt Bitkom. Auch der eco – Verband der Internetwirtschaft e.V. warnt davor, dass viele Unternehmen noch nicht ausreichend vorbereitet sind und fordert eine Verlängerung der Umsetzungsfristen.
Eco-Vorstandsmitglied Klaus Landefeld sagt: „Es wäre gut für die Bundesregierung, sich bei der Umsetzung der NIS2-Richtlinie auf nationaler Ebene stärker an den europäischen Vorgaben zu orientieren. Das Risiko, dass der regulatorische Rahmen auseinanderbricht und für Deutschland andere Regeln gelten als für Europa, ist groß. Insbesondere die Einstufung als „Betreiber kritischer Systeme“ schafft Unsicherheit für international tätige Unternehmen, die in den einzelnen EU-Mitgliedstaaten unterschiedliche Regeln einhalten müssten.“
Auch der kurze Umsetzungszeitraum bereitet eco Sorgen. „Viele Unternehmen wissen noch nicht, dass sie im Geltungsbereich der Richtlinie und der daraus resultierenden Gesetze in Deutschland liegen. Sie haben sich noch nicht auf die zukünftigen Anforderungen der NIS2-Richtlinie vorbereitet und wissen teilweise noch nicht, wie diese auf sie zutreffen“, sagt Landefeld.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) bietet nun jedoch Unterstützung an. BSI-Präsidentin Claudia Plattner erklärte: „In Zukunft werden rund 29.500 Unternehmen Maßnahmen zur Cybersicherheit umsetzen müssen. Diese sorgen für die Sicherheit der Versorgung der Bevölkerung und bilden das Rückgrat der Cyber-Nation Deutschland. Das BSI wird daher bestmögliche Unterstützung bieten und die Umsetzung der gesetzlichen Anforderungen so einfach wie möglich gestalten.“
Um Unternehmen, die potenziell von den neuen gesetzlichen Verpflichtungen betroffen sind, während des laufenden Gesetzgebungsverfahrens zu informieren, hat das BSI nun Unterstützungsangebote veröffentlicht: Die vom BSI Online bereitgestellte Impact-Prüfung enthält konkrete Ja/Nein-Fragen auf Basis der NIS2-Richtlinie zur Klassifizierung von Unternehmen in vier Kategorien: Betreiber kritischer Infrastrukturen, besonders wichtige Einrichtungen, grundlegende Einrichtungen und nicht betroffene Unternehmen. Sobald das geänderte BSI-Gesetz verabschiedet ist, wird das BSI die Prüfung aktualisieren.
