Vorerst lautet die Antwort auf diese Frage wohl „Ja“. Seit Mitte letzter Woche ist klar, das deutsche Umsetzungsgesetz zur NIS2 Richtlinie wird vor der nächsten Bundestagswahl nicht mehr umgesetzt. Hand auf’s Herz: Das haben wir genau so vermutet. Aber was bedeutet dies nun für die Zukunft, für etwaige Sanktionen der EU und vor allem für die Wirtschaft?n
.
Was hat die Entscheidung verhindert?
Ende letzten Jahres wurde ein Regierungswurf erstellt, der auch so vom Bundesrat abgesegnet und somit ins Parlament zur weiteren Diskussion gestellt wurde. Hatte es bereits über 2 Jahre gedauert überhaupt soweit zu kommen, geriet die Festlegung des Gesetzes nun erneut ins Stocken. Der Ball der Verantwortlichkeit wird dabei von jeder Partei an die nächste weitergereicht. Die SPD und vor allem Bundesministerin Nancy Faeser haben es versäumt den Gesetzesentwurf rechtzeitig vorzulegen. Wir erinnern uns, für das Gesetz gab es über sechs Referentenentwürfe bis endlich der nächste Schritt eingeleitet wurde. Nach Manuel Höferlin, innenpolitischer Sprecher der FDP, gab es zwar sachliche und somit gute Gespräche zum Regierungsentwurf, aber eine Einigung gab es am Ende nicht in allen Punkten. Der Entwurf wurde dahingehend geändert, dass die Ausnahmen für die Bundesbehörden gestrichen wurden und somit auch diese zukünftig mit Hilfe von NIS-2 reguliert werden sollen. Beim Schwachstellenmanagement wurden die Parteien sich allerdings nicht einig. Während die FDP den Vorschlag brachte, dass Schwachstellen zukünftig (Nachrichtendienste ausgenommen) ab dem 1. Januar 2027 an das BSI gemeldet werden müssen, lehnte die SPD diesen Vorschlag ab. Von den Grünen fehlt eine konkrete Stellungnahme, da diese aber im Vorfeld angaben, sich mit der SPD geeinigt zu haben, ist davon auszugehen, dass sie die Ablehnung von Seiten der SPD unterstützen. Die Überlegung das Gesetz dennoch in einer Abstimmung mit Hilfe der Union durchzubekommen wurde jedoch von der CDU abgelehnt. Damit wandert der Entwurf in die nächste Regierungsperiode.
Was hat die Entscheidung verhindert?
Bereits im November startete ein Vertragsverletzungsverfahren der EU-Kommission. Hierzu wurden zunächst Aufforderungen an die EU-Mitgliedsstaaten verschickt, die das Gesetz noch nicht umgesetzt hatten. Deutschland ist dabei kein Ausnahmekandidat. Über 22 Staaten haben noch kein Gesetz verabschiedet. Auf das Schreiben soll innerhalb von zwei Monaten reagiert werden und die Umsetzung der Richtlinie abgeschlossen sowie die beschlossenen Maßnahmen der EU-Kommission mitgeteilt werden. Anderenfalls kann sich die Kommission an den Europäischen Gerichtshof wenden und schlussendlich finanzielle Sanktionen für den entsprechenden Mitgliedsstaat fordern.
Diese möglichen Sanktionen werden zumindest von Dr. Reinhard Brandl (CSU Mitglied im Digitalausschuss) erst einmal eher locker gesehen. Die EU wisse, dass in Deutschland Neuwahlen anstehen und werde sich deshalb mit Sanktionen zunächst zurück halten. Die gesetzte Frist von zwei Monaten wird noch vor der neuen Bundestagswahl ablaufen. Da die darauffolgende Regierungsbildungsperiode Zeit brauchen wird, ist aktuell unklar, wann das NIS-2 Gesetz kommen wird. Auch wenn die EU die Neuwahlen berücksichtigen kann, ist dennoch abzusehen, dass es nicht unendlich viel Zeit geben wird, das Gesetz umzusetzen, bevor Sanktionen drohen. Immerhin hatte Deutschland vor der Ampel-Auflösung 2 Jahre Zeit, um NIS2 umzusetzen.
Was bedeuten die Verzögerungen für Unternehmen?
Viel kritisiert wurden schwammige Ausdrücke und unklare Deadlines für die Umsetzung von NIS-2. Das wird sich leider erst einmal nicht zeitnah ändern. Auf der anderen Seite geben immer noch 71% der Unternehmen an, sich unvorbereitet zu fühlen.(Stand September 2024) Das hängt natürlich unter anderem damit zusammen, dass die Maßnahmen noch nicht konkret sind. Auf der anderen Seite ist IT-Sicherheit natürlich immer ein Kostenfaktor für den viele nicht „unnötig“ Geld ausgeben möchten. Es besteht die Befürchtung am Ende doch Geld für etwas auszugeben, das vielleicht gar nicht benötigt wird.
Tatsächlich gehen wir jedoch aktuell davon aus, dass einige Punkte keine große Änderung mehr erfahren werden. Regelmäßige Schulungen der Mitarbeiter und Geschäftsführer, dem Unternehmen angemessene Sicherheitsverfahren wie 2FA und ein Notfallhandbuch werden mit hoher Wahrscheinlichkeit verpflichtend werden.
Wir möchten an dieser Stelle noch einmal dafür appellieren die Cybersicherheit im eigenen Unternehmen nicht auf das NIS-2 Umsetzungsgesetz zu vertagen, sondern das Thema zügig anzugehen. Das Gesetz soll dafür sorgen, dass in Unternehmen, die der Staat mindestens als „wichtig“ einstuft eine einheitliche Basis an Sicherheitsregeln gelten. Es ist jedoch wahrscheinlich, dass diese Basis einige Grundsicherheitsmaßnahhmen beinhaltet, die ohnehin für jedes Unternehmen sinnvoll sind. Jetzt damit anzufangen aufzurüsten bietet den Vorteil bereits jetzt gegen viele Angriffe geschützt zu sein. Hinzu können Sie dem endgültigen Gesetz dann deutlich gelassener entgegen sehen. Der einfachste Start ist eine Auflistung der aktuellen Gegebenheiten. So lässt sich auch direkt erkennen, welche Sicherheitsmaßnahmen noch fehlen. Gern bieten wir hierfür unsere Unterstützung an. Schreiben Sie uns gern eine E-Mail oder rufen Sie uns an, um jetzt Ihren unverbindlichen Beratungstermin zu buchen.
Quellen:
https://www.heise.de/news/NIS2-Umsetzung-und-Kritis-Dachgesetz-endgueltig-gescheitert-10259832.html
https://www.tagesschau.de/inland/kritis-schutz-kritische-anlagen-gespraeche-gescheitert-100.html