Das Bundesinnenministerium (BMI) arbeitet derzeit am Umsetzungsgesetz zur revidierten Netzwerk- und Informationssicherheitsrichtlinie der Europäischen Union (NIS2). Die Umsetzung in deutsches Bundesrecht hätte eigentlich bis zum 17. Oktober 2024 erfolgen müssen, wurde aber aufgrund des Ampel-Endes wurde das Gesetz jedoch nicht mehr vom alten Bundestag verabschiedet. In einem nun bekannt gewordenen Zwischenstand von Ende Mai zeigt sich, dass große Teile des Ampel-Entwurfs den Regierungswechsel überdauert haben. Kleinere Änderungen gegenüber dem letzten Entwurf sind dennoch enthalten.
Die Änderungen beim nun von der AG Kritis veröffentlichten Zwischenstand betreffen unter anderem den Telekommunikationssektor. Bisher mussten Unternehmen mindestens 10 Millionen Euro Jahresumsatz und zusätzlich eine ebenso hohe Bilanzsumme vorweisen, um unter NIS2 zu fallen, im neuen Entwurf wird aus dem "und" ein "oder". Somit dürften mehr der kleineren TK-Anbieter unter die Regelungen fallen.
Teilweise eingearbeitet wurden zudem die Beschlussempfehlungen aus dem Innenausschuss des vergangenen Bundestages. Gestrichen wurde zudem ein Absatz, der nach dem Motto "melden macht frei" dazu geführt hätte, dass keine zusätzlichen Maßnahmen ergriffen werden müssten, wenn ein Betreiber selbst einen Vorfall meldet.
Bundesverwaltung bekommt weniger Zeit
Vor allem die Bundesverwaltung fasst die aktualisierte Entwurfsversion strenger an: Statt wie bisher geplant nach fünf Jahren sollen diese nunmehr nach drei Jahren nachweisen, dass sie die Anforderungen erfüllen. Und auch hier wird angepasst: auch die Bundesverwaltung, also Ministerien und nachgeordnete Behörden, müssen sich an Standards des Bundesamts für Sicherheit in der Informationstechnik und den IT-Grundschutz halten -- der zum 1. Januar 2026 vom BSI "modernisiert und fortentwickelt" werden soll.
Weiterhin nicht gelöst ist das Problem, dass der Bund keine Vorschriften für Länder und Kommunen erlassen kann. Gerade letztere waren in den vergangenen Jahren häufig das Ziel von Angriffen. Die Vorschriften hierfür liegen jedoch aufgrund des sogenannten Mischverwaltungsverbotes ausschließlich in der Hand der Bundesländer.
Eine andere Änderung dürfte noch etwas Stirnrunzeln auslösen: Auch Betreiber wichtiger, nicht nur kritischer, Anlagen sollen künftig automatisierte Angriffserkennungssysteme einsetzen. Die Zuständigkeit für deren Überprüfung soll allerdings nicht mehr beim BSI verortet sein -- sondern bei der Bundesnetzagentur, die in bestimmten Bereichen auch heute für die IT-Sicherheit mit- oder hauptzuständig ist.
Die schwarz-rote Bundesregierung will ihre Fassung nun bis zur parlamentarischen Sommerpause Anfang Juli finalisieren und durch das Bundeskabinett in Richtung Bundestag und dann Bundesrat bringen. Zahlreiche Wirtschaftsverbände hatten gefordert, dass die Bundesregierung schnell Rechtsicherheit für die Betreiber kritischer Infrastrukturen schaffen müsse – und die EU-Kommission Deutschland und andere Mitgliedstaaten ermahnt, zügig die überfällige Verabschiedung vorzunehmen.
(cku)
English (US) ·