Thought Leadership
Über ein Jahr nach Ablauf der EU-Frist hat der Bundestag am Donnerstagnachmittag das Gesetz zur Umsetzung der NIS2-Richtlinie verabschiedet. Die Neuregulierung der IT-Sicherheit betrifft sowohl Unternehmen als auch die Bundesverwaltung und soll die Cybersicherheit in Deutschland deutlich stärken.
Deutschland hat sich Zeit gelassen: Eigentlich hätte die EU-Richtlinie NIS2 bereits im Oktober 2024 in nationales Recht umgesetzt werden müssen. Nun, mehr als 13 Monate später, hat der Bundestag die Neuregulierung der IT-Sicherheit beschlossen. Die Verzögerung ist umso bemerkenswerter, als Cyberangriffe der deutschen Wirtschaft jährlich Schäden in dreistelliger Milliardenhöhe verursachen: „Die Umsetzung der europäischen NIS2-Richtlinie war überfällig”, kommentiert etwa Dr. Ralf Wintergerst, Präsident des Branchenverbands Bitkom.
Nach nur halbstündiger Debatte stimmten CDU/CSU, AfD und SPD für die Neuregulierung der IT-Sicherheit, die Grünen votierten dagegen, die Linke enthielt sich.
Deutlich mehr Unternehmen betroffen
Ein zentraler Punkt des Gesetzes ist die erweiterte Definition kritischer Infrastrukturen. Künftig müssen deutlich mehr Unternehmen besondere Sicherheitsvorkehrungen treffen und unterliegen strengeren Meldepflichten bei Sicherheitsvorfällen. Neben Energieversorgern, Krankenhäusern und Telekommunikationsanbietern fallen nun auch Unternehmen aus weiteren Sektoren unter die verschärften Anforderungen.
Eine bedeutende Neuerung ist die Einbeziehung nachgelagerter Bundesbehörden in den Anwendungsbereich. Damit unterliegt künftig auch die Bundesverwaltung denselben Anforderungen beim Risikomanagement wie regulierte Unternehmen.
Umstrittene Neuregelungen zu kritischen Komponenten
Für Diskussionen sorgen die kurzfristig in das Gesetzgebungsverfahren eingebrachten Regelungen zu kritischen Komponenten. Das Bundesinnenministerium erhält die Befugnis, in Abstimmung mit anderen Ressorts kritische Komponenten zu definieren und deren Einsatz eigenständig zu untersagen: “Unternehmen brauchen verlässliche Rahmenbedingungen, Verbote können erhebliche Auswirkungen auf die Geschäftstätigkeit haben. Vor solch wichtigen Entscheidungen müssen die Betroffenen unbedingt vorab konsultiert werden“, so Wintergerst.
Herausforderungen bei der Umsetzung
Die praktische Umsetzung der umfangreichen NIS2-Anforderungen dürfte viele Unternehmen vor Herausforderungen stellen. Das BSI wird eine zentrale Rolle bei der Unterstützung betroffener Organisationen spielen müssen. Zudem steht noch die Anpassung des KRITIS-Dachgesetzes an das neue NIS2-Umsetzungsgesetz aus, die zeitnah erfolgen soll.
