Inkrafttreten des NIS-2 Umsetzungsgesetzes später als geplant
Eigentlich müsste die neue NIS-2-Richtlinie der EU zur Cybersicherheit bis 17.10.2024 in nationales deutsches Recht umgesetzt sein. Aber daraus wird wohl nichts. Der Gesetzesentwurf ist zwar fertig, muss aber noch durch Bundestag und Bundesrat. Und das kann dauern. Man rechnet mittlerweile mit einer deutlichen NIS-2 Verzögerung.
Das Bundesinnenministerium (BMI) hat auf Anfrage des Bundesverbandes der mittelständischen Wirtschaft (BVMW) mitgeteilt, dass es nicht mit einer fristgerechten Einführung der neuen Richtlinie zur Netzsicherheit rechnet. Scheinbar ist außerdem unklar, wann genau NIS-2 in Deutschland in Kraft treten wird. In der Antwort des BMI heißt es lediglich, dass damit gegebenenfalls im ersten Quartal 2025 gerechnet werden könne.
In Kürze: Was ist NIS-2?
NIS-2 ist eine EU-Richtlinie zur Stärkung der Cybersecurity der Europäischen Union. Dabei steht „NIS“ für „Network Information Security“. NIS-2 erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie (NIS-1). Durch diese Erweiterung sind nun deutlich mehr Unternehmen betroffen als bisher. In Deutschland rechnet man mit ca. 30.000 Unternehmen, für die in Zukunft die Vorgaben von NIS-2 verbindlich sind.
Betroffen ist nicht nur der KRITIS-Sektor, sondern jetzt auch weitere Unternehmen und Einrichtungen. Abhängig von Branche und Unternehmensgröße. Und auch einige Sonderfälle und Bundeseinrichtungen sind zukünftig verpflichtet, NIS-2 umzusetzen.
NIS-2 Zeitplan: Wie geht es weiter?
NIS-2 trat im Januar 2023 in der gesamten EU in Kraft. Bis 17.10.2024 hatten die EU-Länder Zeit, die EU-Richtlinie in nationales Recht zu überführen. Ursprünglich war vorgesehen, dass sich betroffene Unternehmen in Deutschland danach bis spätestens 17. Januar 2025 beim BSI (Bundesministerium für Sicherheit in der Informationstechnik) registrieren müssen. Dieser Zeitplan ist durch die NIS-2 Verzögerung aber hinfällig.
Am 24. Juli 2024 wurde der Gesetzesentwurf im Kabinett zwar beschlossen. Nun muss er aber noch durch Bundestag und Bundesrat. Man rechnet damit, dass sich die endgültige Verabschiedung von NIS-2 bis etwa März 2025 verzögert. Vor allem die ITK-Verbände haben noch Bedenken. Sie fordern Nachbesserungen und die Anpassung einiger Details. Zum Beispiel bemängelt Bitkom-Präsident Ralf Wintergerst eine „fehlende Harmonisierung mit dem KRITIS-Dachgesetz“.
NIS-2 Verzögerung nutzen – jetzt Betroffenheit prüfen
Die Verzögerung von NIS-2 ist eine große Chance für deutsche Unternehmen, ihre Betroffenheit von NIS-2 jetzt zu ermitteln und rechtzeitig geeignete Maßnahmen zur Umsetzung von NIS-2 in ihrem Unternehmen vorzubereiten. Denn viele Unternehmen haben noch keine Kenntnis von ihrer Betroffenheit und den daraus resultierenden neuen Anforderungen an ihre Cybersecurity.
Um die undurchsichtige Lage der Betroffenheit für Unternehmen zu klären, bietet das BSI auf seiner Internetseite eine Betroffenheitsprüfung an.
Schon während des laufenden Gesetzgebungsverfahrens erhalten Unternehmen hier durch die Beantwortung von Ja/Nein-Fragen eine Antwort zu ihrer NIS-2 Betroffenheit. In der Folge sollte schon jetzt ein Plan zur Einführung geeigneter IT-Security-Maßnahmen vorbereitet werden.
Wir unterstützen Sie gerne bei der Umsetzung der NIS-2 Vorgaben. Nutzen Sie unser Know-how und Fachwissen!
Welche Unternehmen betrifft NIS-2?
Wichtig: Unternehmen werden nicht durch die Behörden darüber informiert, dass NIS-2 zukünftig für sie gilt! Jedes Unternehmen muss selbst prüfen, ob die NIS-2-Kriterien auf es zutreffen.
Grundsätzlich gilt, dass Unternehmen aus diesen beiden Kategorien und den darin aufgeführten Sektoren betroffen sind:
Zusätzlich hängt die NIS-2 Betroffenheit auch von der Unternehmensgröße ab:
Aber Achtung: Es gibt sogar Unternehmen, für die NIS-2 unabhängig von ihrer Größe gilt (z. B. Anbieter von öffentlich zugänglichen elektronischen Kommunikationsdiensten, Zulieferer).
Hohe Bußgelder bei Verstößen gegen NIS-2
Bei Verstoß gegen die NIS-2-Richtlinie drohen hohe Bußgelder von bis zu 10 Millionen Euro. Und Geschäftsführer und Vorstände haften zukünftig mit ihrem Privatvermögen. Es lohnt sich also, die eigene Betroffenheit zeitnah zu ermitteln und entsprechende Maßnahmen zur Netzwerksicherheit Ihres Unternehmens einzuführen!
Nutzen Sie die NIS-2 Verzögerung und bereiten sich auf deren Umsetzung rechtzeitig vor. Wir unterstützen Sie dabei. Mit Experten-Know-how und mehr als 25 Jahren Markterfahrung. Kontaktieren Sie uns.