Betroffen von NIS2
Betroffen von NIS2 Was nun? Die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2-Richtlinie) hat sich zu einem zentralen Begriff in der IT-Branche entwickelt. Die Direktive trat im Januar 2023 in Kraft und verfolgt das Ziel, ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU sicherzustellen. Doch wie sieht es mit dem Stand der Umsetzung in Deutschland eigentlich aus? Und was genau bedeutet die Richtlinie für betroffene Organisationen? Im Gegensatz zur Datenschutz-Grundverordnung, die seit 2018 direkt in allen EU-Mitgliedsstaaten gilt, entfaltet die NIS2-Richtlinie keine unmittelbare Wirkung. Stattdessen müssen die Vorgaben von den Mitgliedsstaaten in nationales Recht umgesetzt werden. In Deutschland arbeitet der Gesetzgeber hierzu am NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Ein erster Referentenentwurf wurde bereits im April 2023 vorgelegt und seitdem mehrfach überarbeitet, wobei sowohl kleinere Anpassungen als auch größere Änderungen vorgenommen wurden. Aktuell befindet sich das Gesetz in der Abstimmung zwischen Bundestag und Bundesrat, obwohl die EU eine Frist zur Verabschiedung bis zum 17. Oktober 2024 gesetzt hatte. Laut einem Zeitplan des Bundesinnenministeriums soll das Gesetz im März 2025 in Kraft treten (Das NIS2-Umsetzungsgesetz NIS2UmsuCG – OpenKRITIS). Ob dieser Plan nach dem Koalitionsbruch der Ampel-Regierung im November 2024 noch eingehalten werden kann, ist ungewiss. Sowohl der Bundesverband IT-Sicherheit e.V. (TeleTrusT) als auch die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI) appellieren an die Abgeordneten des Bundestags, das Gesetz noch in dieser Legislaturperiode zu verabschieden (TeleTrusT – Bundesverband IT-Sicherheit e.V. , Posten | LinkedIn). Wann die neue Cybersicherheitsregulierung tatsächlich finalisiert wird, bleibt somit abzuwarten. Organisationen sollten sich auf dieser Verzögerung jedoch nicht ausruhen. Durch die Überschreitung des EU-Stichtags wird es keine Ü