Bruch der Ampel-Koalition – Auswirkungen auf NIS2

Verzögerung bei der Umsetzung der NIS-2-Richtlinie in Deutschland: Umsetzung frühestens Ende 2025

Weitere Hängepartie und Unsicherheit

Die am 16. Januar 2023 auf EU-Ebene in Kraft getretene NIS-2-Richtlinie setzt neue Standards für die Cybersicherheit in den Mitgliedsstaaten. Im Gegensatz zu Verordnungen entfaltet sie jedoch keine unmittelbare Rechtswirkung, sondern muss von den einzelnen Mitgliedstaaten in nationales Recht umgesetzt werden. Nach den Vorgaben der EU hätte dies bis zum 17. Oktober 2024 geschehen müssen.

Umsetzung in Deutschland nicht erfolgt

In Deutschland ist die fristgerechte Umsetzung der Richtlinie gescheitert. Andere EU-Staaten sind hier schon deutlich weiter. Das sogenannte NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde zwar vom Kabinett beschlossen und in den Bundestag eingebracht, erhielt aber in den Ausschüssen bis zuletzt viel Kritik, u.a. weil es den öffentlichen Sektor / öffentliche Verwaltung weitgehend außen vor lässt.

Politischer Stillstand in der Cybersicherheitsgesetzgebung

Bereits vor dem Ende der Ampelregierung ging das BMI nach einer Anfrage des Bundesverbandes der mittelständischen Wirtschaft (BVMW) davon aus, dass mit einer Umsetzung gegebenenfalls erst im ersten Quartal 2025 zu rechnen sei.

Der politische Stillstand in der Cybersicherheitsgesetzgebung wurde durch die jüngsten Entwicklungen in der Bundesregierung noch verschärft: Nach dem Bruch der Ampelkoalition, der Vertrauensfrage und der Auflösung des Bundestages stehen vorgezogene Neuwahlen im Februar 2025 an.

Folgen der Diskontinuität: Verschiebung auf Ende 2025

Nach dem Grundsatz der Diskontinuität müssen alle bisher nicht verabschiedeten Gesetzesvorhaben nach der Wahl erneut in den Bundestag eingebracht werden. Angesichts der absehbar schwierigen Mehrheitsverhältnisse nach der Wahl wird sich die Regierungsbildung mit seinen Koalitionsverhandlungen mit zwei oder mehr Partnern voraussichtlich bis Ostern oder Pfingsten 2025 hinziehen.

Angesichts der Wahlkampfversprechen (Entbürokratisierung, Entlastung der Wirtschaft) und der in den Ausschüssen geäußerten Kritik an der bisherigen Fassung des Gesetzes ist davon auszugehen, dass die neue Regierung das Gesetz überarbeiten wird, bevor es erneut im Parlament behandelt wird. Es ist daher fraglich, ob das NIS2UmsuCG noch vor der Sommerpause 2025 verabschiedet werden kann. Eine Verschiebung in den Herbst 2025 ist daher wahrscheinlich, im schlimmsten Fall könnte sich die Umsetzung bis 2026 verzögern.

Keine Verpflichtungen für Unternehmen vor nationaler Umsetzung

Da die NIS 2-Richtlinie nicht unmittelbar gilt, ergeben sich bis zur Verabschiedung eines nationalen Gesetzes keine neuen rechtlichen Verpflichtungen für Unternehmen. Dies bestätigt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen FAQs.

Erst mit Inkrafttreten eines nationalen Gesetzes, das die neuen Vorgaben der Richtlinie umsetzt – in Deutschland wäre dies eine Neufassung des BSI-Gesetzes (BSIG) durch das NIS2UmsuCG – werden die neuen Regelungen für Unternehmen verbindlich.

Umsetzung in Unternehmen aber sofort erwartet

Das NIS2UmsuCG bzw. das darin neu gefasste BSI-Gesetz sehen nach Beschluss im Parlament keine weitere Umsetzungsfrist für die Unternehmen vor. Auch wenn – ähnlich wie nach Einführung der DSGVO –  nicht zu erwarten ist, dass am Tag nach dem Wirksamwerden Auditoren des BSI ausschwärmen und die Behörde danach Unternehmen mit Bußgeldern überzieht, so ist dennoch fraglich, ob die neuen, persönlichen Haftungsregeln für die Geschäftsleitung aus §38 BSIG nicht direkt angewandt und – in Schadensfällen – von Gesellschaftern bzw. Investoren auch eingefordert werden.

Vorausschauend Handeln: früh anfangen!

Zur Vermeidung von Haftung und als vorausschauendes Management – auch im Hinblick auf die zu erwartende Knappheit an bzw. Preisanstieg bei unterstützenden Ressourcen/Beratung – ist angeraten, die bereits bekannten Anforderungen an die Unternehmen, die sich im Wesentlichen aus §30 BSIG sowie dem sich zum „Goldstandard“ entwickelnden Annex zur NIS2UmsVO ergeben.

Fazit und Ausblick

Die Verzögerung bei der Umsetzung der NIS2-Richtlinie wirft Fragen zur Cyber-Sicherheitsstrategie Deutschlands auf. Es bleibt unklar, wann die Politik ihre Hausaufgaben macht und die gesetzlichen Grundlagen schafft, die dann aber mangels weiterer Übergangsfrist sofort umgesetzt sein sollen.

Die Priorisierung anderer Themen könnte den Prozess weiter verzögern, etwa aufgrund Wahlversprechen, lahmender Konjunktur oder der Weltpolitik (Trump, Ukraine, China). Damit bleibt die Frage offen, wann Deutschland die Anforderungen der EU-Richtlinie tatsächlich in nationales Recht umsetzen wird.

Aufgrund der fehlenden Umsetzungsfrist und der bereits bekannten Anforderungen aus dem §30 BSIG sowie der Interpretationshilfe im Annex der NIS2UmsVO sind Unternehmen aber gut beraten, das Thema NIS2 nicht vor sich herzuschieben, sondern zeitnah anzugehen.