Kurz-Update- NIS-2-Umsetzungsgesetz gescheitert: Was nun?

Bis zuletzt hatten Experten und auch die Verhandlungsführer der Regierung die Hoffnung, dass das NIS-2-Umsetzungsgesetz, ebenso wie das KRITIS-Dachgesetz, noch vor der Bundestagswahl verabschiedet werden. Ende Januar diesen Jahres gaben die zuständigen Berichterstatter auf. Sie konnten keine Einigung erzielen (ausführlich Steiner, NIS2-Umsetzung und Kritis-Dachgesetz endgültig gescheitert, Heise Online vom 28.01.2025).

Zur Erinnerung:

Die bereits am 27.12.2022 in Kraft getretene NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) ist Teil der europäischen Cybersicherheitsstrategie, die Ende 2020 verabschiedet wurde (Cybersicherheitsstrategie der EU, siehe dazu bereits „Die NIS-2-Richtlinie: Teil 1 – Einführung und Status der Umsetzung“), mit dem Ziel der Reaktionsfähigkeit auf große Cyberangriffe und der Gewährleistung der internationalen Sicherheit und Stabilität im Cyberspace. Der deutsche Gesetzgeber hatte fast zwei Jahre Zeit zur Umsetzung. Bis zum 17.10.2024 hätte das Umsetzungsgesetz verabschiedet sein sollen (siehe bereits „Die NIS-2-Richtlinie: Teil 1 – Einführung und Status der Umsetzung“).

Wie geht es weiter?

Aufgrund der Bundestagswahl und der anschließenden Koalitionsverhandlungen dürfte vor dem Herbst 2025 nicht realistisch mit einer Umsetzung zu rechnen sein. Es bleibt zu hoffen, dass das Thema schnell auf die Agenda kommt und prioritär behandelt wird. Sichere Vorhersagen lassen sich aber nicht treffen.

Unklar ist auch, ob die neue Regierung auf Basis des bisherigen Verhandlungsstandes weitermacht oder noch einmal einen komplett neuen Gesetzesentwurf vorlegt. Wünschenswert wäre eine Nachbesserung an Stellen, an denen der bisherige Entwurf unter dem Niveau der NIS-2-Richtlinie bleibt.

Was heißt das für Unternehmen?

Da es keine Übergangsperioden geben wird, sollten Unternehmen, die unter den Anwendungsbereich der NIS-2-Richtlinie fallen (siehe „Die NIS-2-Richtlinie: Teil 1 – Einführung und Status der Umsetzung“), sofern nicht bereits erfolgt, schnellstmöglich damit beginnen, die erforderlichen Risikomanagementmaßnahmen zu implementieren (siehe ausführlich „NIS-2-Richtlinie: Teil 2 – Risikomanagement-Maßnahmen oder was jetzt zu tun ist“). Die NIS-2-Richtlinie gibt Mindestsicherheitsmaßnahmen vor, die die Mitgliedsstaaten bei der Umsetzung nicht unterschreiten dürfen. Daher sind Unternehmen gut beraten, sich daran zu orientieren.