Verzögerungen bei NIS-2 Umsetzung

Mit der NIS-2-Richtlinie soll die Resilienz der kritischen Infrastruktur Europas gegen digitale Angriffe von außen und innen steigen und muss bis zum 17. Oktober 2024 in die nationalen Gesetzgebungen der Mitgliedsstaaten der Europäischen Union verankert werden. Der Groß- und Außenhandel sind davon ausdrücklich erfasst, da Lieferketten zukünftig deutlich stärker als Teil der kritischen Infrastruktur gedacht werden. Die Umsetzung in Deutschland stockt nun und es ist wahrscheinlich, dass Deutschland die Deadline zur Umsetzung reißen wird.
 

Wie zu hören ist, hakt es in der Ressortabstimmung, da Bundesministerium für Justiz (BMJ) und Auswärtige Amt (AA) Bedenken angemeldet haben und die Abstimmung blockieren. Da die NIS-2-Umsetzung auch öffentliche Institutionen (also auch die des Bundes) umfasst, fürchtet das AA offenbar, dass die erhöhten Sicherheitsauflagen zu einer Trennung der Verwaltungseinrichtungen des Bundes in „Innen-“ und „Außenteile“ führen könnten, was man als problematisch identifiziert hat. Gleichsam möchte man auch außenpolitisch relevante Aspekte von Sicherheitsvorfällen stärker berücksichtigen. Das BMJ wiederum besteht auf der Einführung eines effektiven Schwachstellenmanagements. Zudem beharrt es darauf, das Bundesamt für Sicherheit in der Informationstechnik (BSI) – das mit der NIS-2-Umsetzung erheblich mehr Kompetenzen erhalten wird – unabhängiger vom BMI zu machen und verweist dabei auf entsprechende Verabredungen im Koalitionsvertrag. Zudem gibt es wohl noch Einigungsbedarf ob der Kostenverteilung für den in Zukunft deutlich erhöhten Personalbedarf im BSI. 
 

Aufgrund der noch zahlreichen offenen Punkte ist damit zu rechnen, dass sich das Kabinett frühestens im Mai oder Juni mit der NIS-2 Umsetzung beschäftigen wird. Sollte dies der Fall sein, wird sich die Verankerung in nationales Recht wohl mindestens auf das Ende des Jahres verschieben, wodurch die Umsetzungsfrist deutlich überschritten würde. Zu rechnen ist in diesem Zuge auch mit Verzögerungen in der KRITIS-Dachgesetzgebung, die hier von allen Beteiligten zusammen mit NIS-2 behandelt wird.