NIS-2 Blogreihe – Teil 2: Der Weg von der EU-Richtlinie zum deutschen Gesetz – Aktuelle Entwicklungen

Die Reise der NIS-2-Richtlinie von ihrer Verabschiedung in der EU bis zur Umsetzung in deutsches Recht ist ein komplexer Prozess. Hier die wichtigsten Meilensteine:

• 14. Dezember 2022: Verabschiedung durch die EU-Kommission
• 16. Januar 2023: Inkrafttreten der Richtlinie
• 18. Oktober 2024: Ursprünglich geplante Umsetzungsfrist für EU-Mitgliedstaaten
• 6. November 2024: Scheitern der Ampel-Koalition
• 23. Februar 2025: Vorgezogene Bundestagswahl
• Februar – April 2025: Voraussichtlicher Zeitraum für Koalitionsverhandlungen
• Mai 2025 oder später: Mögliche Bildung einer neuen Regierung

Die politischen Entwicklungen in Deutschland haben erhebliche Auswirkungen auf den Zeitplan der NIS-2-Umsetzung. Die ursprünglich für März 2025 geplante Verabschiedung des deutschen Umsetzungsgesetzes (NIS2UmsuCG) wird sich nun deutlich verzögern. Dies führt zu:

• Rechtsunsicherheit:
  • Unternehmen fehlen klare gesetzliche Vorgaben zur Umsetzung der NIS-2-Anforderungen. Die EU-Richtlinie bietet bereits einen festen Rahmen. Dennoch ist noch nicht klar, ob bei der Umsetzung in deutsches Recht weitere Themenbereiche mit aufgenommen werden. Auch das KRITIS-Dachgesetz muss angepasst und erweitert werden.
  • Das BSI wird mit hoher Wahrscheinlichkeit die zentrale Meldestelle in Deutschland. Einige Rahmenbedingungen sind jedoch noch unklar
• Zeitdruck:
  • Die EU-Frist zur Umsetzung der Richtlinie ist deutlich überschritten. Die EU hat bereits ein Verfahren gegen die Staaten, die die Richtlinie nicht umgesetzt haben, eröffnet. Es ist mit Strafen für diese Staaten zu rechnen.
• Sicherheitsrisiken:
  • Die Cybersicherheit kritischer Infrastrukturen bleibt länger als geplant auf dem bisherigen Stand. Gerade in der aktuellen politischen Situation und zunehmenden Angriffen auf Unternehmen, ist der Schutz durch geeignete Maßnahmen dringend notwendig.

Trotz der politischen Unsicherheit raten wir Unternehmen dringend, proaktiv zu handeln und ihre Cybersicherheit eigenständig zu erhöhen:

Verantwortlichkeiten klären

• Bestenfalls zwei Personen als verantwortlich für die Informationssicherheit benennen
  • Einarbeiten in die Anforderungen der NIS2-Richtlinie und aktuelle Standards
  • Meldewege bei IT-Vorfällen innerhalb des Unternehmens definieren
  • Meldewege zum BSI vorbereiten
  • Fortlaufend über das BSI und BMI zum aktuellen Stand der Umsetzung informieren

Aktuellen Sicherheitsstatus bewerten

• Eine Bestandsaufnahme der bestehenden Informationssicherheitsmaßnahmen, z.B. anhand des
  •  BSI Grundschutz oder
  • ISO 27001 durchführen.

Gerne unterstützen wir dabei.

Risikomanagement aufbauen und anpassen

• Identifikation potenzieller Risiken für das Unternehmen
• Einordnung und Bewertung der erkannten Risiken
• Erarbeiten von Maßnahmen zur Vermeidung und Reduktion der Risiken.
• Priorisierung und Umsetzen der Maßnahmen
• Laufende Überwachung und Überprüfung bekannter Risiken.
• Das Risikomanagement fortlaufend an neue Anforderungen des BSI anpassen.

Sicherheitsmaßnahmen kontinuierlich verbessern

• Sicherheit in der gesamten Lieferkette prüfen und gewährleisten
• Grundlegende Prinzipien der Cyberhygiene im Unternehmen umsetzen

Gesetzliche Anforderungen erfüllen

• Auf gesetzliche Meldepflichten vorbereiten.
• Warnungen und Lageberichte von zuständigen Stellen empfangen und angemessen darauf reagieren.

Als Experten für Cybersicherheit bieten wir umfassende Unterstützung bei der Vorbereitung auf NIS-2:

1. Gap-Analyse und Bewertung deiner aktuellen Sicherheitsmaßnahmen
2. Entwicklung einer NIS-2-konformen Sicherheitsstrategie (nach aktuellem Wissensstand)
3. Implementierung notwendiger technischer und organisatorischer Maßnahmen
4. Schulungen für deine Mitarbeiter

Es ist zu erwarten, dass die neue Bundesregierung die NIS-2-Umsetzung priorisieren wird, um den EU-Verpflichtungen nachzukommen. Dennoch ist mit einer Verzögerung von mehreren Monaten zu rechnen, bis ein überarbeiteter Gesetzentwurf vorliegt und verabschiedet werden kann.

Lass uns gemeinsam dein Unternehmen NIS-2-ready machen, unabhängig von den politischen Entwicklungen. Kontaktiere uns für ein unverbindliches Beratungsgespräch.

Bleib dran für unseren nächsten Beitrag, in dem wir konkrete Schritte zur NIS-2-Compliance vorstellen werden.

In den kommenden Beiträgen unserer NIS-2-Blogreihe werden wir uns detailliert mit den folgenden Themen befassen:

• Teil 3: Notwendige Nachweise für Compliance
• Teil 4: Registrierungs- und Meldepflichten
• Teil 5: Aufsicht, Risiken und Sanktionen
• Teil 6: Risikomanagement im Detail
• Teil 7: Technische und organisatorische Maßnahmen
• Teil 8: Zuständigkeiten innerhalb der EU

Bleib dran, um dein Unternehmen optimal auf die NIS-2-Richtlinie vorzubereiten!

Haftungsausschluss:

Die in diesem Blogpost enthaltenen Informationen dienen lediglich zu Informationszwecken und stellen keine Rechtsberatung dar. Wir haben die Informationen nach bestem Wissen und Gewissen zusammengestellt, übernehmen jedoch keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen. Für eine verbindliche Auslegung der NIS-2-Richtlinie und deren Umsetzung in nationales Recht konsultiere bitte einen Rechtsberater.