Die NIS2-Direktive ist auf dem Weg zur Umsetzung in deutsches Recht. Das Bundesministerium des Innern und Heimat hat einen Referentenentwurf "Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG)" vorgelegt.
Gemäß dem Entwurf wird das Gesetz am 1. Oktober 2024 in Kraft treten. Die Begründung diesbezüglich lautet:
Bei einer Verkündung im März 2024 stehen den Einrichtungen noch sechs Monate für die Umsetzung der in diesem Gesetz enthaltenen Verpflichtungen zur Verfügung. Der hier genannte Zeitpunkt ist der letzte Quartalsbeginn vor Ablauf der Umsetzungsfrist des Artikel 41 NIS-2-Richtlinie am 17. Oktober 2024. Im Übrigen sind die für die Verpflichtungen von wesentlichen und wichtigen Einrichtungen maßgeblichen Inhalte der NIS-2-Richtlinie bereits seit dem Kommissionsentwurf aus Dezember 2020 bekannt.
Quelle: Microsoft Word - CI1_17002_41_22 3-16 (Referentenentwurf NIS2UmsuCG - 03-04-2023 09-00) (intrapol.org) Linkdatum 14.07.2023
Die maßgeblichen Inhalte der NIS2-Richtlinie sind seit dem Kommissionsentwurf im Dezember 2020 bekannt. Somit haben die betroffenen Unternehmen bereits eine Vorstellung von den Anforderungen, die sie erfüllen müssen. Mit der Bekanntgabe des Gesetzentwurfs haben sie nun die Möglichkeit, sich konkret auf die Umsetzung vorzubereiten.
Die Implementierung der Richtlinien wird voraussichtlich erhebliche Auswirkungen auf die betroffenen Unternehmen haben. Die Unternehmen stehen vor der Herausforderung, ihre IT-Sicherheitssysteme und -praktiken zu überprüfen und gegebenenfalls anzupassen oder zu verbessern.
Dabei ist es wichtig zu beachten, dass das Gesetz nicht alle Unternehmen gleichermaßen betreffen wird. Die Vorgaben des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes gelten für Unternehmen, die bestimmte Kriterien erfüllen: Sie müssen mindestens 50 Mitarbeiter beschäftigen und einen Jahresumsatz von mindestens 10 Millionen Euro aufweisen. Darüber hinaus müssen sie den in Anhang 1 oder Anhang 2 der NIS2-Richtlinie aufgeführten Sektoren zugeordnet werden können.
Die NIS2-Richtlinie ist ein wichtiger Schritt zur Verbesserung der Cybersicherheit und zur Erhöhung der Netz- und Informationssicherheit in der EU. Mit der bevorstehenden Umsetzung in nationales Recht gewinnt dieses wichtige Thema weiter an Bedeutung. Daher sollten die betroffenen Unternehmen die verbleibende Zeit nutzen, um sicherzustellen, dass sie die Anforderungen des Gesetzes erfüllen und ihre Informationssicherheit effektiv managen. Ferner ist ein Blick auf die mit dem Gesetz einhergehenden Haftung von natürlichen Personen empfehlenswert.