Das NIS2-Umsetzungsgesetz (NIS2UmsuCG): Zeitlicher Rahmen und gesetzliche Herausforderungen

In einer zunehmend digitalisierten Welt wird der Schutz kritischer Infrastrukturen vor Cyberangriffen immer wichtiger. Die EU hat mit der NIS2-Richtlinie (Network and Information Security Directive) einen weiteren Schritt unternommen, um die Cybersicherheit in den Mitgliedstaaten zu stärken. Deutschland setzt diese Richtlinie durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) um. 

Mit diesem Beitrag wollen wir den relevanten Unternehmen einen kurzen Ausschnitt zu den Rahmenbedingungen der zeitlichen Umsetzung und gesetzlichen Anforderungen aufzeigen und wie man diesen Herausforderungen mithilfe der Trigonum begegnen kann.

Die NIS2-Richtlinie wurde am 16. Dezember 2020 von der Europäischen Kommission verabschiedet. Ziel der Richtlinie ist es, die Sicherheitsanforderungen zu erhöhen und die Zusammenarbeit zwischen den Mitgliedstaaten zu verbessern. Die Mitgliedstaaten sind verpflichtet, die Richtlinie bis zum 17. Dezember 2024 in nationales Recht umzusetzen.

Zeitlicher Rahmen der Umsetzung

In Deutschland begann der Prozess der Umsetzung mit der Einleitung der Gesetzgebungsverfahren im Jahr 2022. Die Bundesregierung hat dazu verschiedene Entwürfe und Konsultationsprozesse eingeleitet, um sicherzustellen, dass das NIS2-Umsetzungsgesetz den Anforderungen der EU-Richtlinie entspricht. Das Gesetz soll bis Ende 2023 verabschiedet und bis Mitte 2024 vollständig umgesetzt sein, um die Frist der EU zu erfüllen.

Gesetzliche Herausforderungen

Die Umsetzung der NIS2-Richtlinie in nationales Recht stellt mehrere gesetzliche Herausforderungen dar:

1. Erhöhung der Sicherheitsanforderungen

Eine der größten Herausforderungen besteht darin, die erhöhten Sicherheitsanforderungen in allen relevanten Sektoren umzusetzen. Dies betrifft insbesondere Betreiber kritischer Infrastrukturen in Bereichen wie Energie, Gesundheit, Verkehr und Finanzwesen. Diese Unternehmen müssen umfangreiche Sicherheitsmaßnahmen ergreifen, um den neuen Standards zu entsprechen. Die Implementierung solcher Maßnahmen kann sowohl zeitaufwendig als auch kostspielig sein.

2. Harmonisierung und Zusammenarbeit

Die NIS2-Richtlinie fordert eine engere Zusammenarbeit zwischen den Mitgliedstaaten der EU. In Deutschland bedeutet dies, dass nationale Behörden, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), eng mit ihren europäischen Pendants zusammenarbeiten müssen. Dies erfordert die Schaffung neuer Kommunikations- und Kooperationsmechanismen, um den Informationsaustausch und die Koordination zu verbessern.

3. Meldepflichten und Compliance

Unternehmen müssen sicherstellen, dass sie die neuen Meldepflichten einhalten. Dies beinhaltet die Pflicht, Cybervorfälle innerhalb kurzer Zeiträume zu melden, was eine Herausforderung für Unternehmen darstellen kann, die nicht über die notwendigen Ressourcen oder Fachkenntnisse verfügen. Die Einhaltung dieser Vorschriften erfordert oft die Einrichtung oder Erweiterung von Compliance-Abteilungen und entsprechenden IT-Systemen.

4. Datenschutz und Rechtssicherheit

Ein weiteres wichtiges Thema ist der Datenschutz. Die NIS2-Richtlinie verlangt, dass alle Sicherheitsmaßnahmen und Meldepflichten im Einklang mit bestehenden Datenschutzgesetzen stehen, insbesondere mit der Datenschutz-Grundverordnung (DSGVO). Dies kann zu rechtlichen Spannungen führen, insbesondere wenn es darum geht, wie Sicherheitsvorfälle gemeldet und Daten ausgetauscht werden sollen, ohne die Datenschutzbestimmungen zu verletzen.

Mapping bereits existierender Standards mit den gesetzlichen Anforderungen

Für viele Unternehmen stellt sich die Herausforderung, Anforderungen mehrerer Standards, wie z.B. ISO 27001, TISAX, CMMC, BSI-KRITIS, umzusetzen. Hier sind insbesondere Mappings zwischen den einzelnen Anforderungen der Standards hilfreich. Eine Informationsquelle hierzu bietet die OPENKRITIS Seite als eine erste hilfreiche Übersicht. Darüber hinaus haben wir bereits eine Vielzahl von Mappings erstellt, z.B. zwischen NIS2 und KRITIS, ISO 27001, TISAX etc. Sprechen Sie uns hierzu gerne an.

Fazit

Das NIS2-Umsetzungsgesetz stellt einen wichtigen Schritt zur Verbesserung der Cybersicherheit in Deutschland dar. Der zeitliche Rahmen für die Umsetzung ist eng gesteckt, und die gesetzlichen Herausforderungen sind vielfältig. Unternehmen und Behörden müssen zusammenarbeiten, um die erhöhten Sicherheitsanforderungen zu erfüllen, die Zusammenarbeit und den Informationsaustausch zu verbessern sowie die neuen Meldepflichten einzuhalten. Trotz dieser Herausforderungen bietet die NIS2-Richtlinie die Chance, die Resilienz der kritischen Infrastrukturen in Deutschland und der EU insgesamt zu stärken und besser auf zukünftige Cyberbedrohungen vorbereitet zu sein.