Am 7. März 2024 wurde ein weiterer Referentenentwurf für das NIS2UmsuCG öffentlich. Dieser Entwurf aus Dezember 2023 enthält Änderungen und Ergänzungen die aus den Werkstattgesprächen im Herbst letzten Jahres hervorgegangen sind.
Die wesentlichsten Änderungen sind:
– Zentralregierung ist keine besonders wichtige Einrichtung mehr, dafür mit deren Pflichten zzgl weiterer
– Definition Bund ist nun breiter.
– Ausnahmen für Finanzen und Versicherungen (DORA) gestrafft
– Ausnahmen/Überschneidung für EnWG-BNetzA Energiebetreiber angepasst
– Frist für bestehende KRITIS-Prüfungen um ein Jahr verlängert
– Ausnahme für Energie/TK/Finanzunternehmen von §30 gestrichen
– Ausnahmen gelten nun für Maßnahmen in §§31, 32, 35 und 39
– Sanktionen gestrafft und Fehler behoben
– Viele Änderungen in den Bundeszuständigkeiten
– Evaluierung in Teilen nach vier Jahren vorgesehen
Trotz des neuen Entwurfes hinkt das Gesetzgebungsverfahren aktuell dem geplanten Zeitplan deutlich hinterher. Nach diesem sollte das Gesetz im März 2024 bereits verkündet werden.
Die Umsetzung der NIS-2-Richtlinie wird voraussichtlich etwa 30.000 Unternehmen in Deutschland betreffen. Diese Unternehmen müssen sich intensiv auf die neuen Anforderungen vorbereiten. Es wird erwartet, dass Unternehmen, die bereits Maßnahmen im Rahmen der Vorgängerregelung (NIS-1) ergriffen haben, zusätzliche Kosten von rund zwölf Prozent erwarten können. Neue Unternehmen, die bisher noch keine Maßnahmen ergriffen haben, müssen mit einer Erhöhung ihres Cybersicherheitsbudgets um etwa 22 Prozent rechnen.
Experten raten Unternehmen, sich nicht auf die Veröffentlichung des finalen NIS-2-Umsetzungsgesetzes zu verlassen, sondern sich bereits jetzt mit der Richtlinie und den bisherigen Entwürfen auseinanderzusetzen. Die ISO 27001 kann dabei als Orientierungshilfe dienen, da sie viele Parallelen zur NIS-2 aufweist. Unternehmen, die bereits nach ISO 27001 zertifiziert sind, könnten bereits etwa 70 Prozent der NIS2-Anforderungen abdecken.
Quellen:
- https://intrapol.org/2024/03/07/2-refe-nis2umsucg-online-verfuegbar-inkl-downloadlink/
- https://intrapol.org/2024/03/04/update-zum-neuen-refe-fuer-ein-nis2umsucg/
- https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html#changes
- https://www.connect-professional.de/security/daueraufgabe-it-sicherheit.329333.html