NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

NIS2UmsuCG – NIS2 Umsetzungs- und Cyberresilienzstärkungs-Gesetz

Inhalte der NIS2UmsuCG

Das NIS2-Umsetzungs- und Cybersicherheitsstärkungs-Gesetz (NIS2UmsuCG) ist die Umsetzung der NIS2-Richtlinie (RICHTLINIE (EU) 2022/2555) in deutsches Recht, da eine EU-Richtlinie – anders als eine Verordnung – eben nicht direkt anwendbares Recht in den Mitgliedsstaaten ist.

Im Gegensatz zur NIS2-Richtlinie ist das Gesetz ist aktuell (Stand 11/2024) noch im Entwurf – frühere Versionen und einen Vergleich der Versionen haben wir in den Links bereitgestellt.

Das NIS2UmsuCG ändert eine Vielzahl von anderen Gesetzen.
Hauptteil aber ist die vollständige Neufassung des BSI-Gesetzes (BSIG). Dieses enthält auch die eigentlichen Bestimmungen der NIS2-Richtlinie, insbesondere die Anforderungen an die Unternehmen. Daher haben wir die Neufassung des BSIG separat aufbereitet.

Zeitplan für die NIS2-Gesetzgebung in Deutschland
Die Umsetzung – d.h. das Inkrafttreten des NIS2UmsuCG – sollte bis zur Anwendbarkeit der NIS2-Richtlinie am 17. Oktober 2024 geschehen, so wollte es die NIS2-Richtlinie. Viele europäische Länder sind hier im Zeitplan der Umsetzung weiter, denn diesen Termin wurde in Deutschland nicht eingehalten. So stammt der letzte Entwurf, der auch dem Parlament zugeleitet wurde, aus Juli 2024. Sofern das Gesetz als notifikationspflichtiges Gesetz der EU vorgelegt werden muss – was eine dreimonatige Wartezeit impliziert – konnte also eine Verabschiedung vor Ende Oktober nicht erfolgen. Zudem gibt es noch einige Diskussionen um mögliche Nachbesserungen im parlamentarischen Verfahren.
Durch den Bruch der Ampel-Koalition droht weitere Verzögerung: sofern es nicht noch im letzten Moment mit den Stimmen der CDU im Parlament beschlossen wird (wovon angesichts der Kritik in den Ausschüssen nicht zu rechnen ist), wird das Umsetzungsgesetz aufgrund des Grundsatzes der Diskontinuität von der Nachfolgeregierung neu auf den Weg gebracht werden müssen. Nach der Neuwahl im Februar 2025 wird es erwartbar eine schwierige Koalitionsbildung geben. Bis eine neue Regierung steht, könnte es Ostern oder Pfingsten 2025 sein, das ist schon bedenklich nahe an der Sommerpause. Sofern keine globale Krisenlage und/oder aufsehenerregende Cybervorfälle geschehen, wird es voraussichtlich Ende 2025 oder Frühjahr 2026 werden.

Direkte Anwendbarkeit der NIS2-Richtlinie ohne Umsetzungsgesetz?
Gelegentlich wird von einer direkten Anwendbarkeit der NIS2-Richtlinie gesprochen. Das wäre dann der Fall, wenn diese Richtlinie keiner weiteren Interpretation bedarf, so dass sie direkt angewendet werden kann. Das ist aber insbesondere in Bezug auf die Aufsichtsfunktion (Welche Behörde ist dafür zuständig?) wie auch der Bußgeldbemessung (Wer darf Bußgelder verhängen?) für Deutschland nicht geklärt.

  • Es ist daher nicht damit zu rechnen, dass ab dem 17. Oktober 2024 irgendeine Behörde anklopft und NIS2-Nachweise sehen will oder Bußgelder verhängt, weil es (noch) kein Gesetz gibt, das diese Behörde autorisiert. – Das ist Panikmache! – Das sieht auch das BSI in seinen FAQs so.

Dennoch könnte es vorkommen, dass etwa Auftraggeber aus anderen EU-Ländern, die sich an den Zeitplan gehalten haben, Nachweise im Rahmen der Lieferantensicherheit anfordern oder auch Versicherungen unter Hinweis auf die geltenden EU-Richtlinien Haftung bei Nicht-Umsetzung verweigern.

  • Die Verzögerung bei der Umsetzung durch die Regierung sollte nicht als Grund vorgebracht werden, noch nicht mit der Umsetzung zu beginnen.
  • Als Grundlage für en Beginn der Umsetzung im Unternehmen können wahlweise herangezogen werden
    • der Gesetzesentwurf des neuen BSIGs
      der aber sehr vage ist und ggf. noch verändert wird
    • neben den §§ 32, 33 und 38 BSIG insbesondere die NIS2UmsVO – die
      • für das Unternehmen ggf. nicht direkt anwendbar ist, aber
      • offiziell verabschiedet ist,
      • ausführlich beschrieben ist
      • und als erwartbarer „Goldstandard“ EU-weit anerkannt ist.

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz