Das Gesetz zur Umsetzung der NSI2-Richtlinie wird kommen, das ist sicher—nicht sicher ist jedoch nach wie vor wann es kommt. Doch jetzt zeigt eine neue EU Verordnung was auf die betroffenen Unternehmen zukommt.

Die Frist die NIS2-Richtlinie der EU in nationales Recht zu gießen ist im Oktober 2024 abgelaufen und der aktuelle Entwurf zum NIS2UmsCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) hat reichlich Kritik aus Branchenverbänden und der Wirtschaft hervorgerufen. Insbesondere die im Entwurf hinterlegte Auflistung von Mindestanforderungen (§30) wirft dabei mehr Fragen auf als sie Antworten bietet. Insbesondere vor dem Hintergrund der Neuwahl im Februar kann davon ausgegangen werden, dass wir nicht vor Oktober 2025 mit einem neuen Vorstoß rechnen brauchen.

Unterdessen hat die EU im November eine Durchführungsverordnung erlassen, die einige der Fragen aus dem NIS2UmsCG beantwortet. Die Durchführungsverordnung versucht, zwischen den europäischen Staaten ein einheitliches Verständnis zur Umsetzung der Richtlinie zu schaffen. Sie wurde unter Beteiligung zahlreicher Unternehmen, Verbände und Stakeholder aus der EU erarbeitet. Der über 30 Seiten starke Katalog konkretisiert die vagen Vorgaben aus dem §30 NIS2UmsCG und ermöglicht so eine bessere Bewertung des potenziellen Aufwands.

Beispielsweise wird klar geregelt:

• Welche Inhalte ein Sicherheits- oder Risikokonzept enthalten muss,
• In welchen Fällen Multifaktor–Authentisierung einzusetzen ist,
• in welchem Umfang eine Rollentrennung zu erfolgen hat und
• welche Ereignisse protokolliert werden müssen und vieles mehr.

Auch wenn an vielen Stellen – etwa vom BSI – betont wird, dass der Aufbau eines ISMS (Information Security Management System) allein nicht ausreicht, um die NIS2-Vorgaben zu erfüllen, erinnern die Vorgaben schon sehr stark an die Einführung eines ISMS. Ein solches kann somit, als solide Grundlage betrachtet werden. Entscheidend bleibt, welche Vorgaben schlussendlich ins nationale Gesetz oder in zugehörige Verordnungen übernommen werden. Wenn man sich jedoch an den bekannten Vorgaben orientiert, kann man davon ausgehen, dass der Aufwand für die betroffenen Unternehmen signifikant sein wird. Wenn man dann bedenkt, dass nach ersten Schätzungen etwa 20.000 Unternehmen in Deutschland betroffen sein werden, drängt sich eine zentrale Frage auf: Wer soll das alles umsetzen?

Der Markt an Spezialisten ist leergefegt und auch das BSI wird alle Hände voll zu tun haben die mit dem Gesetz angedachten neuen Aufgaben auszufüllen. Es kann deshalb für die Potenziell betroffenen Unternehmen sicher nicht schaden für die strategische Planung einen Überblick über die Vorgaben zu haben und bereits jetzt erste Maßnahmen zur Umsetzung zu treffen. Der Informationssicherheit im Unternehmen wird es letztlich nicht schaden.

Die Durchführungsverordnung samt Anhang finden sich hier: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14241-Cybersicherheitsrisikomanagement-und-Berichtspflichten-fur-digitale-Infrastrukturen-Anbieter-und-IKT-Servicemanager_de