NIS 2 kommt, IT-SiG 2.0 geht (zumindest in Teilen): Ein Update zum aktuellen Stand der Cybersicherheitsgesetzgebung
von , veröffentlicht am 10.05.2023Es kommt, was kommen musste: In Umsetzung von NIS 2 werden voraussichtlich die nationalen UBI nach IT-SiG 2.0 wegfallen – das überrascht mangels immer noch fehlender untergesetzlicher Definition nicht. Insbesondere die UBI der Kategorie 2 (größte nationale Unternehmen nach Wertschöpfung) werden in den europäisch definierten "wesentlichen" und "wichtigen" Einrichtungen aufgehen. Ganz sinnlos war die Aufnahme in das IT-SiG 2.0 dennoch nicht, denn so konnten sich zumindest auch Unternehmen jenseits von KRITIS auf mehr Regulierung und Pflichten in der Cybersecurity einstellen. In Anbetracht der kommenden EU-Gesetzgebung hätte man das aber auch pflegeleichter handhaben können.
Interessant außerdem: Die begrifflich eigentlich deutschen "Kritischen Infrastrukturen" werden wohl als eine Unterkategorie innerhalb von NIS 2 bestehen bleiben. Das hängt auch damit zusammen, weil die CER-Richtlinie mit dem neuen KRITIS-Dachgesetz in nationales Recht übertragen werden soll. Dem Grundsatz der Mindestharmonisierung folgend sollen für "KRITIS" aber strengere Regelungen als für "wesentliche Einrichtungen" nach NIS 2 gelten.
Knackpunkt der juristischen Diskussionen um EU NIS 2 in den letzten Monaten war vor allem der hochkomplexe Anwendungsbereich als europäische Überformung nationaler KRITIS-Definitionsmöglichkeiten. Hier will sich der deutsche Gesetzgeber insbesondere um ein vereinfachtes Begriffsverständnis und eine verbesserte Systematik bemühen, was begrüßenswert ist. Die Unterscheidung zwischen den wesentlichen und wichtigen Einrichtungen ist nach europäischem Recht nämlich nicht immer trennscharf.
Wozu der erweiterte Anwendungsbereich mit dem "IT-SiG 3.0" in jedem Fall führen wird: eine erheblich erweiterte Zahl der durch die gesetzlichen Vorgaben betroffenen Einrichtungen – zurzeit sind ca. 4.500 Betreiber erfasst, diese Zahl könnte sich auf in etwa 30.000 erhöhen – freilich mit unterschiedlich strengen gesetzlichen Anforderungen.
Zum Zeitplan: Auch hier geht es schneller voran als gedacht. Die nationale Umsetzung von NIS 2 muss bis zum 17.10.2024 abgeschlossen sein, der deutsche Kabinettsbeschluss soll aber noch vor der parlamentarischen Sommerpause am 8.7.2023 vorliegen und der parlamentarische Prozess soll bis zum 30.11.2023 abgeschlossen sein.
Fazit zum aktuellen Stand: Es sieht insgesamt besser aus als bislang gedacht und angenommen und man darf deshalb Grund zum vorsichtigen Optimismus haben, solange die Entwürfe noch nicht vorliegen (LINK ZU EINER VORLÄUFIGEN FASSUNG DES REF-E ZU EINEM NIS2UmsuCG) und weitere Bewertungen möglich sind. Dass die inhaltlichen Überlagerungen von NIS 2 und IT-SiG 2.0 jetzt beseitigt und glattgezogen werden, ist für Systematik, Klarheit und Verständnis der Regelungen sinnvoll und notwendig. Und dass die CER-Richtlinie in ein nationales KRITIS-Dachgesetz überführt wird, ist naheliegend – so wird auch aus dieser seit Herbst 2022 laufenden rechtspolitischen Debatte "ein Schuh". Das freilich nur unter der Prämisse, dass in das neue KRITIS-Dachgesetz keine systemwidrigen Inhalte aufgenommen werden. Die Unterscheidung zwischen analoger und digitaler Sicherheit muss hier noch erarbeitet werden. Last but not least: Offenkundig haben Bundesregierung und Gesetzgeber erkannt, dass die reine Quantität gesetzlicher Cybersicherheitsregularien nicht ausreichend ist, sondern es auch angemessener Qualität im Sinne von Rechtssicherheit und Verständlichkeit bedarf, um ein einheitlich hohes Niveau nationaler Cybersicherheit zu gewährleisten.
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
