EU-Richtlinie und die nationale Umsetzung des NIS2UmsuCG

1. Januar 1970

Die Einführung von NIS-1 im Jahr 2016 war ein erster Schritt zur Stärkung der Cybersicherheit innerhalb der EU, der darauf abzielte, ein kohärentes und hohes Sicherheitsniveau im Umgang mit Netz- und Informationssystemen über Grenzen hinweg zu gewährleisten. NIS steht für Netz- und Informationssystemsicherheitsrichtlinie (englisch: Directive on security of network and information systems).  

In Deutschland fand die Umsetzung der NIS 1-Richtlinie unter anderem im bereits seit 2015 bestehenden IT-Sicherheitsgesetz sowie im BSI-Gesetz statt, wobei sich dies insbesondere auf sog. kritische Infrastrukturen (KRITIS) bezog. Als kritische Infrastrukturen gelten Einrichtungen, Anlagen und deren Komponenten, die essenziell für die Aufrechterhaltung des gesellschaftlichen Lebens sind. Ein Ausfall oder eine Beeinträchtigung dieser würde signifikante Versorgungsdefizite oder Risiken für die öffentliche Sicherheit nach sich ziehen. 

NIS-2 geht deutlich darüber hinaus. Die Umsetzung der NIS 2-Richtlinie in nationales Recht steht jedoch noch aus; die EU-Mitgliedstaaten haben seit dem Inkrafttreten 21 Monate Zeit, was auf eine Umsetzung bis zum 17. Oktober 2024 hinausläuft. 

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)

Aktuelle Bemühungen der Bundesregierung konzentrieren sich auf das sog. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Im September 2023 veröffentlichte das Innenministerium ein Diskussionspapier, um den Austausch mit der Wirtschaft anzustoßen, als dritten Referentenentwurf. Die Verkündung des NIS2UmsuCG ist für März 2024 avisiert. Das NIS2UmsuCG ist ein Artikelgesetz, mit dem bestehende Einzelvorschriften überarbeitet werden. Insbesondere gehört dazu das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Damit verschärfen sich die Anforderungen an das Risikomanagement. Schulungen, Meldepflichten und Registrierung beim BSI werden obligatorisch. Die Governance wird gestärkt, Geschäftsführer haften für Maßnahmen. Die Sicherheit in der Lieferkette wird ebenso betont.

Der Kreis der betroffenen Unternehmen wird erheblich ausgeweitet. Zu den Sektoren, die direkt betroffen sind, gehören Großunternehmen, die der kritischen Infrastruktur zuzuordnen sind. Aber auch unabhängig von der Größenordnung können Unternehmen in den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Informationstechnik, Telekommunikation, Weltraum sowie Siedlungsabfallentsorgung in Betracht kommen. Die Richtlinie legt konkrete Schwellenwerte für die Unternehmensgröße fest, ab denen Unternehmen den neuen Anforderungen unterliegen. Es greift bereits bei 50 Mitarbeitern und mehr als 10 Millionen Euro Jahresumsatz.