FAQ zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)

Die EU hat mit der Richtlinie (EU) 2022/2555 vom 14. Dezember 2022, genannt NIS-2-Richtlinie, Cybersicherheitsanforderungen für Organisationen, die wesentliche Dienste erbringen oder Tätigkeiten ausüben, festgelegt. Die EU-Richtlinie ist bis zum 17. Oktober 2024 in nationales Recht zu überführen. 

Zur nationalen Umsetzung in Deutschland wurde das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“, kurz „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG), entwickelt. Der Entwurf wurde am 24.07.2024 vom Kabinett beschlossen und geht nun ins parlamentarische Gesetzgebungsverfahren. Durch das NIS2UmsuCG wird das BSI-Gesetz erheblich überarbeitet, hier im Folgenden als BSIG-neu bezeichnet. 

Das BSIG-neu bestimmt zwei Kategorien von Einrichtungen: „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“. Die Zuordnung wird nach Einrichtungsart und Unternehmensgröße getroffen, wobei Betreiber kritischer Anlagen im bisherigen Sinne immer „besonders wichtige Einrichtungen“ sind, für die weitere Anforderungen gelten. Die eigene Einrichtung muss im Hinblick auf ihren Status als besonders wichtige oder wichtige Einrichtung bestimmt werden.

Auf Basis dieses Entwurfs sollen hier Antworten auf Fragen gegeben werden, welche Organisationen vom NIS2UmsuCG bzw. den dadurch angepassten Gesetzen betroffen sein werden und welche Anforderungen in Bezug auf Informations- bzw. IT-Sicherheit diese werden erfüllen müssen. Die Darstellung beschränkt sich auf Artikel 1 des NIS2UmsuCG resp. Änderungen am derzeitigen „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“, im Folgenden BSIG-alt genannt. 

Hinweis: Die im weiteren Textverlauf genannten Paragraphen beziehen sich auf die durch das NIS2UmsuCG etablierte Neufassung des dann anders lautenden „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen“, das bereits erwähnte BSIG-neu.

Da bislang nur ein Entwurf des Gesetzestextes vorliegt, werden die Inhalte bis zum rechtskräftigen Gesetz voraussichtlich noch Änderungen unterworfen sein. Entwürfe für die abgeleiteten Rechtsverordnungen liegen noch nicht vor. Eine Umsetzung der aufgezeigten Aktivitäten ist erst nach Inkrafttreten des Gesetzes vorgeschrieben. Eine frühere Umsetzung oder zumindest Vorbereitung auf eine zeitnahe Umsetzung nach Inkrafttreten ist aus unserer Sicht und Beratungserfahrung jedoch sinnvoll.

Wir stehen Ihnen als Ansprechpartner gerne zur Verfügung!

Einschlägigkeit/Geltungsbereich des NIS2UmsuCG

Anforderungen aus dem NIS2UmsuCG

Ihre Ansprechpartner

Das Team der Informationssicherheit steht Ihnen mit Fachexpertise und jahrelanger Erfahrung gerne zur Seite. Bei juristischen Fragestellungen zum NIS2UmsuCG können Sie sich auch direkt an unser Compliance-Team wenden. Wir freuen uns auf Ihre Anfrage!

Thomas Wennemann

Thomas Wennemann

Leiter Informationssicherheit | Beratung

E-Mail: twennemann@re-move-this.datenschutz-nord.de

Telefon: +49 421 69 66 32-346

Dominik Bleckmann

Dominik Bleckmann, Volljurist

Prokurist | Leiter Compliance

E-Mail: dbleckmann@re-move-this.datenschutz-nord.de

Telefon: +49 421 69 66 32-349

Kennen Sie schon unseren Blog?

Mit unserem Blog „datenschutz notizen“ informieren wir Kunden und Interessierte über aktuelle Themen in den Bereichen Datenschutz, Informationssicherheit und Compliance. Hier finden Sie unsere neuesten Beiträge über Informationssicherheit, Cybersicherheit und Pentests: