Der Weg zur endgültigen Regulierung des NIS 2-Umsetzungsgesetz

Der Entwurfsprozess für das NIS2-Umsetzungsgesetz ist bereits weit fortgeschritten. In mehreren Referentenentwürfen (April 2023 bis Mai 2024) und Diskussionspapieren wurden wichtige Änderungen erarbeitet. Im Juli 2024 wurde die Kabinettsversion beschlossen, und im Oktober 2024 ging die Regierungsversion in den Bundestag. Der letzte Entwurf wurde im November 2024 veröffentlicht. Unternehmen sollten sich nun auf die finalen Versionen der Vorschriften einstellen und sicherstellen, dass sie alle erforderlichen Maßnahmen umsetzen.

Gültigkeit auf europäischer Ebene führt zu rechtlicher Lücke

Da die NIS2-Richtlinie auf europäischer Ebene bereits Gültigkeit hat, entstehen in Ländern, die die Richtlinie noch nicht vollständig in nationales Recht umgesetzt haben – wie derzeit in Deutschland – eine rechtliche Lücke. Unternehmen in Deutschland müssten grundsätzlich die Vorgaben der EU-Richtlinie beachten, jedoch gäbe es keine spezifischen deutschen Gesetze, die diese Anforderungen präzise festlegen und durchsetzbar machen.

Was gilt nun für betroffene Unternehmen in Deutschland?

• Anwendbarkeit der EU-Richtlinie: Auch ohne die nationale Umsetzung müssten Unternehmen, die von NIS2 betroffen sind, die Grundanforderungen der Richtlinie umsetzen. Sie wären verpflichtet, die grundlegenden Sicherheitsmaßnahmen zu ergreifen, die von NIS2 gefordert werden, wie etwa Risikomanagement, Vorfallmeldungen und technische Sicherheitsvorkehrungen. Diese Anforderungen würden direkt gelten, da die Richtlinie in allen EU-Staaten rechtlich bindend wäre.
• Rechtsunsicherheit und Vollzug: In Deutschland fehlt jedoch die klare gesetzliche Grundlage, die die Umsetzung dieser Anforderungen regeln und konkretisieren würde. Das führt zu Unsicherheiten bei der Anwendung der Richtlinie. Unternehmen könnten sich nicht sicher sein, wie genau sie die Anforderungen umsetzen sollten, insbesondere in Bezug auf spezifische nationale Vorschriften oder die Durchsetzung durch deutsche Behörden, wie dem BSI.
• Risiko von Sanktionen: Da die EU-Richtlinie Sanktionen bei Nichteinhaltung der Anforderungen vorsähe, stünden deutsche Unternehmen grundsätzlich unter der Gefahr von Strafen, auch wenn die deutsche Gesetzgebung diese Vorschriften noch nicht präzise formuliert hätte. Das könnte bedeuten, dass Unternehmen möglicherweise gemäß der Richtlinie direkt von den zuständigen Behörden sanktioniert werden könnten, was zu weiteren rechtlichen Unsicherheiten führen würde. Grundsätzlich wäre es möglich die Versäumnisse der politischen Klasse, an die Unternehmen und betroffenen Organisationen weitergegeben. Möglicherweise findet der Gesetzgeber hierzu aber noch eine alternative Regelungsvariante.
• Notwendigkeit der Eigeninitiative: Da die NIS2-Richtlinie eine allgemeine Verpflichtung zu Cybersicherheitsmaßnahmen vorschreibt, sollten betroffene Unternehmen aus eigener Initiative heraus Maßnahmen ergreifen, um die Anforderungen zu erfüllen – auch wenn noch keine nationalen Gesetze vorliegen. Unternehmen und der Führungsorgane sind grundsätzlich dazu verpflichtet, ihre IT-Infrastruktur, ihre Sicherheitsvorkehrungen und ihre Prozesse zu überprüfen und sicherzustellen, dass sie den grundlegenden Anforderungen an den Stand der Technik gewahrt sind, um mögliche Risiken zu minimieren. Um eine persönliche Haftung der geschäftsführenden Organe zu vermeiden, sollte es daher im orginären Interesse der handelnden Personen sein, das Thema Cyber Sicherheit verstärkt in den Fokus zu nehmen.

Für weiterführende Fragen zum NIS2-Umsetzungsgesetz, den Cyber Security Maßnahmen, den Anfoderungen an die Informationssicherheit von betroffenen Unternehmen und die Einführung eines Informationssicherheitsmanagementsystem (z.B. ISO 27001 oder TISAX) beantworten unsere Experten in unserem NIS 2 whitepaper. Dies steht ihnen hier zum Download zur Verfügung.

Ihr persönlicher Ansprechpartner im Unternemen ist unser ISMS-Experte:

Christoph Ernst (MBA)
Kennenlernen: Kontakt
Tel.: 09831-683940