Die Umsetzung der NIS-2 Richtlinie nimmt wieder Fahrt auf. Es liegt ein neuer Gesetzesentwurf vor1, der den letzten Referentenentwurf aufgreift. Übrigens ist dort nicht mehr vom „NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2umsuCG) die Rede, sondern er nennt sich „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmana-
gements in der Bundesverwaltung“ – welche „einprägsame“ Abkürzung dafür gefunden wird, bleibt abzuwarten.
Es hat sich im praktischen Umgang mit der NIS-2 und den Deutschen Entwürfen gezeigt, dass die Betroffenheitsprüfung ein wesentlich komplexeres Unterfangen ist als geplant und gewünscht.
Es gibt zwar in NIS-2 die zwei scheinbar simplen Kriterien „Organisationsgröße“ und „Tätigkeitsfeld“, aber in etlichen Randfragen muss man aufwendig recherchieren, z.B. zur Abgrenzung des Tätigkeitsfeldes auf die NACE-Systematik des europäischen statistischen Amtes zurückgreifen oder – bei Organisationen mit Auslandstöchtern – mit Gesellschaftsanteilen hantieren, um die Frage nach der Betroffenheit zu klären. Die Vermengung der sperrigen Deutschen KRITIS-Schwellwerte mit den NIS-2-Größenkriterien macht die Sache nicht besser.
Außerdem ist speziell die Deutsche Umsetzung auch im Gesetzesentwurf nicht unproblematisch, denn es findet sich dort in §28 Abs. 3 der Spruch:
Bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 können solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte
Geschäftstätigkeit der Einrichtung vernachlässigbar sind.
Diese Aussage ist natürlich ein scheunentorgroßes Schlupfloch und im übrigen unvereinbar mit der NIS-2, die im Original solche Möglichkeiten nicht eröffnet.
Letztlich ungelöst ist die Frage des Umgangs mit öffentlichen Verwaltungen auf Landesebene, wie zum Beispiel Gemeinden, denn für diese gilt das Bundesgesetz nicht – es sind also Regelungen zur Informationssicherheit auf Landesebene gefragt und deren aktuelle Ausprägungen decken (entsprechenden Aussagen aus der Landespolitik zum Trotz) Geist und Zweck der NIS-2 überwiegend nur zu geringen Teilen ab.
Als „Normalo“-Informationssicherheits-Fachmann fragt man sich vielleicht: Warum nur ist es so schwer, eine offensichtlich hilfreiche (weil ziemlich klare und definitiv nützliche) Vorgabe aus Brüssel ganz einfach umzusetzen? Pluralismus und Föderalismus sind möglicherweise nicht allein der Grund. Vielleicht ist der Kern des Problems vielmehr, dass die Informationssicherheit mit ihrem fundamentalen Wert für Wirtschaft und Gesellschaft ihren Platz in den Köpfen vieler Politiker noch nicht gefunden hat.
- https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/kabinettsfassung/CI1/nis2-regierungsentwurf_2025.pdf?__blob=publicationFile&v=4 ↩︎