Ein überarbeiteter Referentenentwurf zum NIS‑2-Umsetzungsgesetz wurde über die AG KRITIS geleakt. Die aktualisierte Fassung präzisiert Meldepflichten, reduziert Anhörungsrechte und soll Klarheit bei der Einordnung kritischer Tätigkeiten geben. Die Umsetzung in Deutschland bleibt weiter im Rückstand.

Der Referentenentwurf zur nationalen Umsetzung der EU-Richtlinie NIS‑2 (Richtlinie (EU) 2022/2555) nimmt konkretere Formen an – wenn auch nicht im parlamentarischen Raum, sondern über einen weiteren Leak. Die aktualisierte Version des Gesetzentwurfs ist bei der unabhängigen Interessensgemeinschaft AG KRITIS öffentlich abrufbar. Die Kollegen der iX berichteten auf heise.de als eine der ersten Redaktionen über den Leak. Damit setzt sich das ungewöhnliche Verfahren rund um die Gesetzgebung fort: Bereits der ursprüngliche Entwurf aus dem Juli 2024 war zuvor inoffiziell bekannt geworden. Seitdem gab es weder eine formale Veröffentlichung noch eine offizielle Verbändeanhörung, obwohl die Richtlinie bereits seit Oktober 2024 in nationales Recht hätte überführt sein müssen.

Inhaltlich enthält der überarbeitete Entwurf einige Änderungen: So wird der Geltungsbereich in § 28 Abs. 3 präzisiert. Einrichtungen, die nur eine »nachrangige Nebentätigkeit« im Bereich kritischer Infrastrukturen verfolgen, sollen künftig von den Anforderungen ausgenommen werden, wenn diese Tätigkeit »im Verhältnis zum Gesamtumfang unerheblich« ist. Damit reagiert der Gesetzgeber offenbar auf Kritik, dass die ursprüngliche Formulierung zu einer übermäßigen Belastung kleiner und mittlerer Organisationen hätte führen können.

Anzeige

Einfluss von außen offenbar nicht erwünscht

Gleichzeitig fällt auf, dass der Einfluss von Industrie, Wissenschaft und Zivilgesellschaft auf die konkrete Ausgestaltung des Gesetzes geschwächt wurde. In der aktuellen Fassung entfällt etwa die Verpflichtung zur Anhörung von Fachgremien bei der Definition kritischer Einrichtungen oder der Einstufung schwerwiegender Sicherheitsvorfälle (§ 56 Abs. 4 und 5). Kritiker sehen hierin einen Rückschritt in Sachen Transparenz und Beteiligungskultur, insbesondere mit Blick auf die komplexen Abhängigkeiten digitaler Infrastrukturen.

Einen Fortschritt stellt hingegen die präzisere Definition des Begriffs »erheblicher Sicherheitsvorfall« dar. Laut § 2 Nr. 11 liegt ein solcher Vorfall künftig vor, wenn es zu ernsthaften Störungen, erheblichen wirtschaftlichen Schäden oder relevanten Beeinträchtigungen Dritter kommt. Diese Klarstellung soll betroffenen Unternehmen mehr Rechtssicherheit bei der Einordnung und Meldepflicht geben.

Die entsprechende Berichtspflicht wurde im Gesetzentwurf nochmals geschärft: Betreiber wesentlicher und wichtiger Einrichtungen müssen unverzüglich eine erste Meldung an das BSI (Bundesamt für Sicherheit in der Informationstechnik) absetzen, betroffene Nutzer informieren und gegebenenfalls auch die Öffentlichkeit warnen lassen – letzteres liegt nun ausdrücklich in der Kompetenz des BSI.

Ein weiterer Punkt betrifft die Zusammenarbeit zwischen dem BSI und der Bundesnetzagentur. In § 5c wird eine koordinierte Zusammenarbeit im Energiesektor explizit verankert – offenbar als Reaktion auf Kompetenzüberschneidungen, die bereits bei früheren IT-Sicherheitsgesetzgebungen für Diskussionen sorgten.

Deutschland seit über einem dreiviertel Jahr im Verzug

Im europäischen Kontext bleibt Deutschland trotz dieser Fortschritte im Verzug. Die Frist zur Umsetzung der NIS‑2‑Richtlinie ist am 17. Oktober 2024 verstrichen, ohne dass ein nationales Gesetz in Kraft getreten wäre. Die EU-Kommission hat deshalb ein Vertragsverletzungsverfahren eingeleitet. Ein finaler Gesetzesbeschluss ist laut Beobachtern frühestens im dritten Quartal 2025 zu erwarten – unter anderem, weil die Neuwahlen zum Bundestag im Februar 2025 den Gesetzgebungsprozess unterbrochen haben.

Unterdessen treibt die EU die inhaltliche Ausgestaltung weiter voran. Bereits im Oktober 2024 hatte die Kommission einen Entwurf zur Festlegung technischer Mindestanforderungen für digitale Dienste veröffentlicht. Dieser betrifft unter anderem Cloud-Anbieter, Content-Delivery-Networks, Domainregistrare und Rechenzentrumsbetreiber. Parallel dazu arbeitet die EU-Agentur für Cybersicherheit ENISA an einem technischen Leitfaden zur Umsetzung risikobasierter Maßnahmen, unter Berücksichtigung etablierter Standards wie ISO 27001, C5 oder IT-Grundschutz.

Unternehmen im Handlungsbedarf

Für Betreiber digitaler Infrastrukturen und insbesondere für Unternehmen, die künftig unter die NIS‑2-Vorgaben fallen, ergibt sich aus alldem ein klarer Handlungsauftrag: Die inhaltlichen Anforderungen sind weitgehend gesetzt, auch wenn das deutsche Gesetz formal noch aussteht.

Marktbeobachter raten dazu, frühzeitig mit der Umsetzung zu beginnen. Risikoanalysen, eine Verbesserung der Resilienz-Maßnahmen oder der Aufbau interner Meldeprozesse sollen helfen Sanktionen zu vermeiden.

Zusammenfassung:

• Präzisierungen im Anwendungsbereich: Kleine Einrichtungen mit nebensächlichen KRITIS-Bezügen sollen künftig nicht unter die Regulierung fallen.
• Weniger Mitspracherecht: Industrie, Wissenschaft und Zivilgesellschaft wurden in der neuen Fassung von zentralen Anhörungsverpflichtungen ausgeschlossen.
• Rechtssicherheit bei Meldepflichten: Der Begriff „erheblicher Sicherheitsvorfall“ wurde konkretisiert, das BSI erhält mehr Verantwortung bei öffentlicher Warnung.