Richtlinie oder Umsetzungsgesetz, was gilt?

Die NIS2-Richtlinie der EU gilt nicht unmittelbar für Unternehmen – das ist nur bei EU-Verordnungen der Fall. Sie muss daher in nationales Recht umgesetzt werden, es muss also ein nationales Gesetz beschlossen werden. Insofern gilt also immer das nationale Gesetz und nicht die Richtlinie direkt. In Deutschland wird die NIS2-Richtlinie durch das NIS2-Umsetzungs- und Cyberresilienzstärkungs-Gesetz (NIS2UmsuCG) in deutsches Recht transformiert, im Wesentlichen durch eine Novellierung des BSI-Gesetzes (BSIG), des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik.

VORSICHT: denn das nationale Gesetz kann aufgrund von Art. 5 der NIS2-Richtlinie von dieser abweichen.

Diese Richtlinie hindert die Mitgliedstaaten nicht daran, Bestimmungen zu erlassen oder beizubehalten, die ein höheres Cybersicherheitsniveau gewährleisten, sofern diese Bestimmungen mit den Pflichten der Mitgliedstaaten nach dem Unionsrecht im Einklang stehen.

Die Richtlinie ist nur eine Mindestharmonisierung, der nationale Gesetzgeber kann schärfere Vorschriften erlassen. –
Insofern ist eine Orientierung am nationalen Gesetz sinnvoll, nicht eine Orientierung an der Richtlinie.