NIS2-Umsetzung: BMI gibt Referentenentwurf in Anhörung
Stärkung der IT-Sicherheit ist Ziel der EU-Richtlinie NIS2. Deutschland macht sich an die Umsetzung - mit Verspätung und Ausnahmen.
Das angestrebte Gesetz soll Kritische Infrastruktur und deren Drumherum besser schützen.
(Bild: heise online / anw)
Für das sogenannte Anpassungsgesetz zur EU-Netzwerk- und Informationssicherheitsrichtlinie (NIS2) und zur Stärkung der IT-Sicherheit gibt es einen neuen Referentenentwurf aus dem Bundesinnenministerium. Hauptteil des "NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes" ist dabei die Umsetzung der NIS2 in deutsches Verwaltungsrecht. Mit diesen Regelungen wird der Anwendungsbereich, also der Kreis der davon Betroffenen, deutlich ausgeweitet, nämlich auf etwa 29.500 Stellen in Deutschland, schätzt das Ministerium.
Wesentlicher Unterschied zu den bisherigen Regelungen für Kritische Infrastrukturen (Kritis) ist ein ganzheitlicher Ansatz: sämtliche IT-Systeme als kritisch eingestufter Einrichtungen fallen grundsätzlich unter die Regulierung – also etwa auch die Buchhaltung. Mit NIS2 wurden vor allem Meldepflichten erweitert: Erstmeldung bei Vorfällen binnen 24 Stunden, umfassendere Meldung nach spätestens 72 Stunden.
Kommunen bleiben draußen
Aufsichtsbehörde soll das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) sein; entsprechend wird mit der Novelle auch das BSI-Gesetz umgebaut. Zudem werden mit dem NIS2UmsCG Regelungen in anderen Sektoren gesetzt. Halten sich verpflichtete Unternehmen nicht daran, müssen sie mit teils empfindlichen Bußgeldern rechnen. Grundsätzlich verantwortlich soll das Unternehmensmanagement sein.
Das BSI soll laut Referentenentwurf auch gegenüber fast allen Einrichtungen des Bundes in akuten Fällen aktiv eingreifen können – bis hin zur Netztrennung, die im Entwurf als Extremfall beschrieben wird. Wie von den Bundesländern gewünscht sollen die von IT-Sicherheitsvorfällen gebeutelten Kommunen in Deutschland nicht über die NIS2 zu besserem Selbstschutz verpflichtet werden. Die EU-Gesetzgebung hat hier eine Ausnahme ermöglicht, deren Nutzung allerdings umstritten ist.
NIS2-Umsetzung mit Verspätung
Für das sogenannte NIS2UmsCG beginnt jetzt die Anhörung von Verbänden und Bundesländern. Der Referentenentwurf ist dabei die Vorstufe zur Kabinettsfassung, die nach Beschluss der Bundesregierung anschließend dem Deutschen Bundestag und Bundesrat zur Beratung, gegebenenfalls Änderung und Verabschiedung vorgelegt wird.
Bereits im vergangenen Sommer hat das Bundesinnenministerium eine Diskussionsversion an Länder und Verbände übersandt, sodass nun eine kürzere Befassung möglich scheint. Das Gesetz kommt trotz langem Vorlauf in jedem Fall mit Verspätung: Bis zum 17.10.2024 sollte die NIS2-Richtlinie in allen EU-Mitgliedstaaten umgesetzt sein. Diesen Termin kann Deutschland nicht mehr halten. Die Bundesrepublik befindet sich hier in Gesellschaft weiterer EU-Mitgliedstaaten, die ebenfalls nicht termingerecht umsetzen werden.
()