Am 24.7.2024 hat sich das Bundeskabinett auf einen Gesetzentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz geeinigt. Der Kabinettsentwurf ist umfangreich, denn die Regierung setzt nicht nur die neuen EU-Vorgaben um, sondern fügt auch noch einige deutsche Änderungen hinzu.  Bis Mitte Oktober muss die Bundesregierung die Cybersicherheitsrichtlinie NIS-2 der EU in nationales Recht umsetzen.

Kommt das Gesetz, wie aktuell geplant, durch den Bundestag, dann wird ein Großteil der bestehenden Pflichten auf andere Betriebe ausgeweitet. Statt nur Kritis-Unternehmen sollen sie dann auch für sogenannte „besonders wichtige“ und „wichtige“ Unternehmen gelten.

In der Gesetzesbegründung wird klargestellt, dass nicht nur die betriebskritische IT im engeren Sinne gemeint ist, sondern „sämtliche Aktivitäten der Einrichtung, für die IT-Systeme eingesetzt werden, dies beinhaltet beispielsweise auch Büro-IT oder andere IT-Systeme, die durch die Einrichtung betrieben werden.“ Damit ist dies eine Erweiterung zum bisherigen BSI-Gesetz. Mit der NIS-2-Umsetzung wird eine Vielzahl an bisherigen Vorschriften verschärft oder zumindest der Adressatenkreis deutlich erweitert. Die Bundesregierung geht von 29.500 Stellen aus, die künftig dem NIS-2-Regime unterliegen. „Künftig müssen mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen“, erklärte die Bundesinnenministerin am Mittwoch zum Kabinettsbeschluss über das NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz.

Künftig haftet die Geschäftsleitung nach den jeweilig anwendbaren Regeln des Gesellschaftsrechts und wird zu Schulungen verpflichtet.

siehe auch: link