BSIG – Entwurf nach NIS2UmsuCG
NEUFASSUNG des BSI-Gesetzes nach dem NIS2-Umsetzungsgesetz
Das das „NIS2-Umsetzungs-und Cyberresilienzstärkungsgesetz (NIS2UmseCG)“ setzt die NIS2-Richtlinie 2022/2555 in deutsches Recht um.
Dabei wird das BSI-Gesetz (BSIG) neu gefasst und die Verpflichtungen für dort definierten sog. Einrichtungen (Unternehmen und andere Organisationen) dort verankert.
Relevant für die Umsetzung der NIS2-Anforderungen in Unternehmen sind diese §§ des BSIG:
(Ausgehend von „Regelfällen“ – keine Berücksichtigung von KRITIS bzw. besondere Einrichtungen nach §60 BSIG.)
- §28 BSIG – für die Frage, ob als Einrichtung unter NIS2 fallend (vgl. auch Check!)
- §30 BSIG – Verpflichtung zum Risikomanagement
- §32 BSIG – Meldepflichten bei Cybervorfällen
- §33 BSIG – Registrierungspflicht für wichtige / besonders wichtige Einrichtungen
- §38 BSIG – besondere Pflichten der Geschäftsleitungen
Das Umsetzungsgesetz ist aktuell noch im Entwurf und noch nicht verabschiedet. Die Verabschiedung sollte bis 17. Oktober 2024 geschehen, das hat nicht geklappt. Nach dem Bruch der Ampel-Koalition greift der Grundsatz der Diskontinuität, d.h. alle Gesetzgebungsvorhaben werden beendet und müssen neu gestartet werden. Aufgrund der schwierigen Koalitionsbildung nach der Neuwahl und der dann nahenden Sommerpause muss damit gerechnet werden, dass die Umsetzung nicht vor Ende 2025 oder Frühjahr 2026 geschieht.
Nach einem Beschluss des Umsetzungsgesetzes ist keine weitere Übergangsfrist mehr vorgesehen – diese gab es schon von 2022-24!
Es ist daher zu empfehlen, bereits jetzt mit der Feststellung der Betroffenheit und ggf. der Umsetzung der Anforderungen zu beginnen.
Die NIS2-Richtlinie der EU ist bereits in Kraft und an ihr kann man sich ebenfalls orientieren. Sie ist aber hinsichtlich der Anforderungen ebenso vage wie das Umsetzungsgesetz bzw. das BSIG (neu).
Ferner hat die EU-Kommission eine NIS2-Umsetzungsverordnung (NIS2UmsVO) als delegierten Umsetzungsrechtsakt beschlossen, die die NIS-Umsetzung für grenzüberschreitende Dienste EU-weit einheitlich regelt. Sie ist deutlich detaillierter in den Anforderungen, die insbesondere in deren Annex beschrieben sind.