In der letzten Woche hat das BMI einen neuen Referentenentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) mit Bearbeitungsstand 07. Mai 2024 veröffentlicht. Dazu können Verbände bis zum 28. Mai 2024 Stellung nehmen. Eine Verbändeanhörung im BMI in Berlin ist für den 03. Juni 2024 geplant. Damit nimmt das Gesetzgebungsverfahren zur Umsetzung der EU NIS-2-Richtlinie endlich Fahrt auf. Ob allerdings noch eine fristgerechte Umsetzung in nationales Recht bis Oktober 2024 möglich ist, wird allgemein bezweifelt.
Inhaltlich ist festzustellen, dass viele Anforderungen an besonders wichtige Einrichtungen und wichtige Einrichtungen inzwischen recht stabil erscheinen und es hier kaum noch wesentliche Änderungen zu vorhergehenden Referentenentwürfen gibt. So müssen betroffene Einrichtungen Risikomanagement-Maßnahmen ergreifen, die sich auf die ganze Einrichtung beziehen. Und für KRITIS-Betreiber bleibt es beispielsweise bei einer Verlängerung des Nachweiszyklus auf 3 Jahre. Allerdings wurde die Position des BSI im Hinblick auf Aufsichts- und Durchsetzungsmaßnahmen geschwächt. Das BSI kann einige Maßnahmen nur im Benehmen mit der jeweils zuständigen Aufsichtsbehörde anordnen, andere Maßnahmen können nur von der Aufsichtsbehörde selbst nach Mitteilung des BSI angeordnet werden.
Es wurden aber auch Zahlen und Aufwände konkretisiert. So wird inzwischen davon ausgegangen, dass es 8.250 besonders wichtige Einrichtungen und 21.600 wichtige Einrichtungen gibt. Damit sind fast 30.000 Unternehmen in Deutschland direkt vom NIS2UmsuCG betroffen. Nimmt man noch die Lieferkette hinzu, die ebenfalls abgesichert werden muss, dann kann sich diese Anzahl ggf. noch verdoppeln. Das führt zwangsläufig zu einem stark erhöhten Verwaltungsaufwand. Neben einem jeweils vierstelligen Aufwuchs an Planstellen in den Bundesministerien und in der Bundesverwaltung, ist im BSI alleine ein Stellenaufwuchs von fast 600 Mitarbeitern geplant.
Betroffene Unternehmen in Deutschland sollten sich dringend mit dem NIS2UmsuCG vertraut machen, da die Anforderungen unmittelbar mit Inkrafttreten gelten werden. Die NIS-2-Richtlinie sieht dies bereits vor. Daher wird eine Betroffenheitsanalyse empfohlen, gefolgt von einer Bestandsaufnahme, um gezielt Risikomanagement-Maßnahmen zu definieren und umzusetzen.
Unsere Experten der TÜV TRUST IT unterstützen Sie dabei von Anfang an fundiert und kompetent, um Rechtsverstöße zu vermeiden, die zu empfindlichen Bußgeldern führen könnten.
Entdecken Sie passen dazu unsere kostenfreie Webinar-Reihe „Handlungsdruck durch NIS-2 – rechtzeitig vorbereitet sein.“
Darin erläutern wir Ihnen regelmäßig, welche konkreten Punkte Sie allgemein bei der Umsetzung beachten sollten und wie der aktuelle Stand dazu ist. Gerne stehen wir Ihnen im Anschluss für Fragen und Diskussionen zur Verfügung.