News

NIS2-Richtlinie: Neue Entwürfe von Umsetzungs­rechtsakten veröffentlicht

28.06.2024

Die Ende 2022 verabschiedete Network-and-Information-Security-Richtlinie 2.0 (NIS2-Richtlinie) ist weiterhin Gegenstand umfassender rechtspolitischer Diskussionen. Danach sind Unternehmen in bestimmten Sektoren und Wirtschaftszweigen ab einer gewissen Unternehmens- bzw. Konzerngröße verpflichtet, Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu implementieren. Als europäische Richtlinie ist NIS2 nicht unmittelbar auf Unternehmen anwendbar, sondern bedarf zunächst einer Umsetzung durch die EU-Mitgliedstaaten in ihre jeweiligen nationalen Rechtsordnungen. Hierfür haben die nationalen Gesetzgeber Zeit bis 17.10.2024.

Deutsches Umsetzungsgesetz – NIS2UmsuCG

Das Bundesinnenministerium (BMI) arbeitet bereits seit der Verabschiedung der NIS2-Richtlinie an dem deutschen Umsetzungsrechtsakt (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG), der eine umfassende Revision des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) vorsieht. Seit Mitte 2023 wurden mehrere Referentenentwürfe veröffentlicht; am dritten Referentenentwurf vom 07.05.2024 beteiligte sich auch Noerr über den Bundesverband IT-Sicherheit e. V. an einer Stellungnahme im Rahmen der Verbandsanhörung.

Am 26.06.2024 veröffentlichte das BMI den nunmehr vierten Referentenentwurf mit Bearbeitungsstand vom 24.06.2024 (Volltext hier abrufbar, Vergleichsversion zum dritten Referentenentwurf hier abrufbar).

Interessante Änderungen ergaben sich unter anderem in Bezug auf die Haftung von Geschäftsleitungen NIS2-regulierter Einrichtungen. Der dritte Referentenentwurf sah noch vor, dass jeder Verzicht der Einrichtung über Schadensersatzansprüche gegenüber der Geschäftsleitung unwirksam ist. Ein Vergleich über solche Ansprüche sollte nur einschränkt möglich sein. In dem vierten Referentenentwurf sind diese Vorgaben nun wieder entfallen. Gleichwohl betont der neue Gesetzesentwurf weiterhin die rechtlichen Risiken für die Geschäftsleitung. Nach der neuen Formulierung im Gesetz, müssten Geschäftsleiter und Geschäftsleiterinnen Risikomanagementmaßnahmen „umsetzen“. Ob eine derart weite Verpflichtung Bestand haben kann und sollte, erscheint rechtspolitisch unklar.

Daneben beinhaltet der jüngste Referentenentwurf grundsätzlich begrüßenswerte Klarstellungen für Einrichtungen, die wegen ihrer Sektorzugehörigkeit auch nach anderen Rechtsakten reguliert sind, etwa im Energie- oder Telekommunikationssektor.

Während Fachkreise und auch das BSI bislang vermuteten, dass der deutsche Gesetzgeber die Umsetzungsfrist zum 17.10.2024 um mehrere Monate überschreiten würde, macht das BMI nun Druck und hat die Kabinettsberatung über das NIS2UmsuCG auf die Tagesordnung der Kabinettssitzung am 24.07.2024 gesetzt. Ob das deutsche Umsetzungsgesetz tatsächlich fristgemäß in Kraft treten wird, bleibt dennoch abzuwarten und wird insbesondere davon abhängen, wie umfassend der zu verabschiedende Regierungsentwurf in Bundestag und Bundesrat debattiert werden wird.

Durchführungsrechtsakt der Kommission für Einrichtungen in Digitalsektoren

Daneben hat die Europäische Kommission am 27.06.2024 ihren Entwurf eines Durchführungsrechtsakts erlassen, in dem sie die Pflichten für Einrichtungen, die den NIS2-Sektoren „Digitale Infrastruktur“, „Anbieter verwalteter Dienste (B2B)“ oder „Anbieter digitaler Dienste“ unterfallen, spezifiziert. Der Entwurf konkretisiert zum einen die technischen und methodischen Anforderungen für von diesen Einrichtungen umzusetzenden Risikomanagementmaßnahmen. Zum anderen spezifiziert die Kommission in dem Entwurf die Kriterien, unter denen ein Sicherheitsvorfall als „erheblich“ einzustufen und daher grundsätzlich an die zuständige Behörde zu melden ist.

Auch wenn der Durchführungsrechtsakt lediglich für Einrichtungen der vorgenannten Digitalsektoren gilt (u.a. Anbieter von Cloud-Computing-Diensten, Rechenzentrumsdiensten oder Online-Marktplätzen sowie Managed Services Provider), lässt sich daraus für sämtliche NIS2-regulierte Einrichtungen eine Tendenz entnehmen, wie zumindest die Europäische Kommission einzelne Risikomanagementmaßnahmen interpretiert. Es ist durchaus auch zu erwarten, dass sich die Aufsichtsbehörden daran zumindest orientieren werden.

Mit Veröffentlichung des Entwurfs hat die Kommission die öffentliche Konsultation zum Durchführungsrechtsakt gestartet, diese läuft bis zum 25.07.2024. Der Durchführungsrechtsakt wird ab 18.10.2024 grundsätzlich unmittelbar in allen EU-Mitgliedstaaten anwendbar sein; deutsche Unternehmen werden aber erst ab Inkrafttreten des deutschen NIS2-Umsetzungsgesetzes Risikomanagementmaßnahmen implementiert haben müssen.

Mit unserem NIS2-Checker können Einrichtungen kostenlos und unverbindlich prüfen, ob sie voraussichtlich in den Anwendungsbereich der NIS2-Richtlinie fallen werden.