Bruch der Ampel-Koalition – Auswirkungen auf NIS2

Die am 16. Januar 2023 auf EU-Ebene in Kraft getretene NIS-2-Richtlinie setzt neue Standards für die Cybersicherheit in den Mitgliedsstaaten. Im Gegensatz zu Verordnungen entfaltet sie jedoch keine unmittelbare Rechtswirkung, sondern muss von den einzelnen Mitgliedstaaten in nationales Recht umgesetzt werden (NIS2-Umsetzung auf nationaler Ebene). Nach den Vorgaben der EU hätte dies bis zum 17. Oktober 2024 geschehen müssen. Das ist in Deutschland und einigen weiteren Mitgliedsstaaten nicht passiert.

In Deutschland ist die fristgerechte Umsetzung der Richtlinie gescheitert. Andere EU-Staaten sind hier schon deutlich weiter. Das sogenannte NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde zwar vom Kabinett beschlossen und in den Bundestag eingebracht, erhielt aber in den Ausschüssen bis zuletzt viel Kritik, u.a. weil es den öffentlichen Sektor / öffentliche Verwaltung weitgehend außen vor lässt.

Bereits vor dem Ende der Ampelregierung ging das BMI nach einer Anfrage des Bundesverbandes der mittelständischen Wirtschaft (BVMW) davon aus, dass mit einer Umsetzung gegebenenfalls erst im ersten Quartal 2025 zu rechnen sei.

Der politische Stillstand in der Cybersicherheitsgesetzgebung wurde durch die jüngsten Entwicklungen in der Bundesregierung noch verschärft: Nach dem Bruch der Ampelkoalition, der Vertrauensfrage und der Auflösung des Bundestages stehen vorgezogene Neuwahlen im Februar 2025 an.

Nach dem Grundsatz der Diskontinuität müssen alle bisher nicht verabschiedeten Gesetzesvorhaben nach der Wahl erneut in den Bundestag eingebracht werden. Angesichts der absehbar schwierigen Mehrheitsverhältnisse nach der Wahl wird sich die Regierungsbildung mit seinen Koalitionsverhandlungen mit zwei oder mehr Partnern voraussichtlich bis Ostern oder Pfingsten 2025 hinziehen.

Angesichts der Wahlkampfversprechen (Entbürokratisierung, Entlastung der Wirtschaft) und der in den Ausschüssen geäußerten Kritik an der bisherigen Fassung des Gesetzes ist davon auszugehen, dass die neue Regierung das Gesetz überarbeiten wird, bevor es erneut im Parlament behandelt wird. Es ist daher fraglich, ob das NIS2UmsuCG noch vor der Sommerpause 2025 verabschiedet werden kann. Eine Verschiebung in den Herbst 2025 ist daher wahrscheinlich, im schlimmsten Fall könnte sich die Umsetzung bis 2026 verzögern.

Da die NIS 2-Richtlinie nicht unmittelbar gilt, ergeben sich bis zur Verabschiedung eines nationalen Gesetzes keine neuen rechtlichen Verpflichtungen für Unternehmen. Dies bestätigt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen FAQs.

Erst mit Inkrafttreten eines nationalen Gesetzes, das die neuen Vorgaben der Richtlinie umsetzt – in Deutschland wäre dies eine Neufassung des BSI-Gesetzes (BSIG) durch das NIS2UmsuCG – werden die neuen Regelungen für Unternehmen verbindlich.

Das NIS2UmsuCG bzw. das darin neu gefasste BSI-Gesetz sehen nach Beschluss im Parlament keine weitere Umsetzungsfrist für die Unternehmen vor. Auch wenn – ähnlich wie nach Einführung der DSGVO –  nicht zu erwarten ist, dass am Tag nach dem Wirksamwerden Auditoren des BSI ausschwärmen und die Behörde danach Unternehmen mit Bußgeldern überzieht, so ist dennoch fraglich, ob die neuen, persönlichen Haftungsregeln für die Geschäftsleitung aus §38 BSIG nicht direkt angewandt und – in Schadensfällen – von Gesellschaftern bzw. Investoren auch eingefordert werden.

Zur Vermeidung von Haftung und als vorausschauendes Management – auch im Hinblick auf die zu erwartende Knappheit an bzw. Preisanstieg bei unterstützenden Ressourcen/Beratung – ist angeraten, die bereits bekannten Anforderungen an die Unternehmen, die sich im Wesentlichen aus §30 BSIG sowie dem sich zum „Goldstandard“ entwickelnden Annex zur NIS2UmsVO ergeben.

WARUM DIE NIS2UMSVO DER NEUE GOLDSTANDARD IST

Die Verzögerung bei der Umsetzung der NIS2-Richtlinie wirft Fragen zur Cyber-Sicherheitsstrategie Deutschlands auf. Es bleibt unklar, wann die Politik ihre Hausaufgaben macht und die gesetzlichen Grundlagen schafft, die dann aber mangels weiterer Übergangsfrist sofort umgesetzt sein sollen.

Die Priorisierung anderer Themen könnte den Prozess weiter verzögern, etwa aufgrund Wahlversprechen, lahmender Konjunktur oder der Weltpolitik (Trump, Ukraine, China). Damit bleibt die Frage offen, wann Deutschland die Anforderungen der EU-Richtlinie tatsächlich in nationales Recht umsetzen wird.

Aufgrund der fehlenden Umsetzungsfrist und der bereits bekannten Anforderungen aus dem §30 BSIG sowie der Interpretationshilfe im Annex der NIS2UmsVO sind Unternehmen aber gut beraten, das Thema NIS2 nicht vor sich herzuschieben, sondern zeitnah anzugehen.