NIS 2 und NIS 2- Umsetzungsgesetz: Stand des Gesetzgebungsverfahrens und Überblick (Hintergrund, Aktuelle Schlagzeilen, Wesentliche Charakteristika): Die NIS 2-Richtlinie ist Teil der EU-Cybersicherheitsstrategie zur Stärkung und Vereinheitlichung des IT-Sicherheitsniveaus innerhalb der EU. In Deutschland erfolgt die Umsetzung durch das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung („NIS 2-Umsetzungsgesetz“), wodurch u.a. das BSIG umfassend novelliert wird. Das Gesetzgebungsverfahren schreitet (nun endlich) voran. Das NIS 2-Umsetzungsgesetz soll voraussichtlich Ende 2025/Anfang 2026 verkündet werden und wird dann – ohne Übergangsfrist – unmittelbar für alle betroffenen Einrichtungen gelten.

Prüfung des Anwendungsbereiches: Herzstück des deutschen NIS 2-Umsetzungsgesetzes ist der Entwurf des neuen BSI-Gesetzes („BSIG-E“). Die zentrale Norm zur Bestimmung des Anwendungsbereichs stellt dabei der § 28 BSIG-E dar. Sie setzt die Vorgaben des Art. 3 der NIS-2-Richtlinie um und unterscheidet zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“, wobei „Betreiber kritischer Anlagen“ den „besonders wichtigen Einrichtungen“ unterfallen.

Pflichten: Auf betroffene Unternehmen kommen eine Vielzahl an Pflichten mit der Umsetzung der NIS 2-Richtlinie zu. Darunter: Registrierungspflichten, die Umsetzung der in §§ 30 und 31 BSIG-E normierten Risikomanagementmaßnahmen, Nachweispflichten, Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen, Meldepflichten, sowie Unterrichtungspflichten.

Insbesondere: Cyber Security in der Lieferkette (Vertragliche Aspekte, Audits, Überwachung etc.): Die NIS-2-RL verpflichtet Einrichtungen zur Umsetzung umfassender Risikomanagementmaßnahmen. Dazu zählt auch „die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern“. Das bedeutet, dass betroffene Unternehmen bei der Umsetzung der Risikomanagementmaßnahmen etwaige Schwachstellen bei der Cybersicherheitspraxis und den Entwicklungsprozessen ihrer Lieferanten und Dienstleister berücksichtigen müssen. In jedem Fall sollten sie ihre Zulieferer vertraglich zur Einhaltung von Sicherheitsmaßnahmen verpflichten und sich dies auch nachweisen lassen.

 

Sanktionen: Das BSIG-E hält verschiedene Aufsichts- und Durchsetzungsmaßnahmen bereit. Darunter auch Bußgelder bis zu 10 Mio. Euro oder bis zu 2 % des weltweiten Vorjahresumsatzes für besonders wichtige und bis zu 7 Mio. Euro oder bis zu 1,4 % des weltweiten Vorjahresumsatzes für wichtige Einrichtungen.

 

Praktische Erfahrungen: Da die wesentlichen Pflichten von NIS 2 erst mit Inkrafttreten des Umsetzungsgesetzes umgesetzt sein müssen, gibt es noch keine umfassenden praktischen Erfahrungen oder eine gefestigte Rechtsprechung, jedoch können schon erste Schlüsse gezogen und praktische Herausforderungen adressiert werden.