Das neu formierte Bundesministerium des Innern (BMI) hat im Zuge der Umsetzung der EU-Richtlinie zur Erhöhung der Cybersicherheit in nationales Recht einen ersten Referentenentwurf vorgelegt. Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) weicht inhaltlich kaum vom gescheiterten Gesetzesentwurf der Ampel-Koalition ab.
Bis zum 17. Oktober 2024 hatten die 27 EU-Mitgliedsländer Zeit, die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU (Network and Information Security 2, kurz: NIS-2) in nationales Recht umzusetzen. Doch bisher ist wenig passiert, lediglich acht Länder haben bereits nationale Gesetze zur Umsetzung der NIS-2 verabschiedet. In Deutschland gab es zwar ebenfalls bereits einen Entwurf; der fiel jedoch mit dem Scheitern der Ampel-Koalition dem Prinzip der sachlichen Diskontinuität zum Opfer, wonach alle Gesetzentwürfe, die vom alten Bundestag noch nicht beschlossen wurden, neu eingebracht und verhandelt werden müssen. Dem ist das BMI nun nachgekommen; die AG KRITIS hat den Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung mit dem Bearbeitungsstand 26. Mai 2025 veröffentlicht. Dem BMI ist laut AG KRITIS durch die Festlegungen der gemeinsamen Geschäftsordnung der Ministerien untersagt, Referentenentwürfe dieser Art zu veröffentlichen. Um dieses Problem für frühzeitige zivilgesellschaftliche Einbindung zu beheben, hat das BMI aber zumindest das Diskussionspapier veröffentlicht, und die AG KRITIS veröffentlicht im Sinne der zivilgesellschaftlichen Transparenz alle Versionen, die ihr zugespielt werden.
Die bisher bekannt gewordenen Änderungen bewegen sich im homöopathischen Bereich. Nach wie vor wird zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen differenziert, wobei Top Level Domain Name Registries per se als besonders wichtige Einrichtung gelten. Als wichtige Einrichtungen gelten im Bereich der Telekommunikation Unternehmen, die weniger als 50 Mitarbeiter beschäftigen und einen Jahresumsatz oder eine Jahresbilanzsumme von jeweils EUR 10 Mio. oder weniger aufweisen; hier wurde der Anwendungsbereich leicht erweitert. Hauptsächlich betroffen bleiben außerhalb des Telekommunikationsbereichs natürliche oder juristische Personen, die mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über EUR 10 Mio. aufweisen; auch sie gelten als wichtige Einrichtung. Punktuelle Änderungen gab es bei den Risikomanagementmaßnahmen, die sowohl besonders wichtige als auch wichtige Einrichtungen ergreifen müssen. Sie müssen zwar unverändert den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und auf einem gefahrenübergreifenden Ansatz beruhen. Aus »grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik« wurde aber zum Beispiel »grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik«.
Gestiegen sind in jedem Fall die Kosten. Für die Bundesverwaltung erhöht sich der jährliche Erfüllungsaufwand um EUR 334 Mio.; der einmalige Erfüllungsaufwand beträgt EUR 208 Mio. Der Wirtschaft entsteht ein einmaliger Aufwand von rund EUR 2,1 Mrd.; dieser ist fast ausschließlich der Kategorie Einführung oder Anpassung digitaler Prozessabläufe zuzuordnen. Nach einem Bericht von heise.de will die Bundesregierung ihre Gesetzesfassung bis zur parlamentarischen Sommerpause Anfang Juli 2025 finalisieren und durch das Bundeskabinett in Richtung Bundestag und dann Bundesrat bringen. Die Zeit drängt: Die EU-Kommission hat bereits ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland wegen der fehlenden Umsetzung der NIS-2 eingeleitet.