Mit dem neuen Referentenentwurf zur Umsetzung der NIS-2-Richtlinie geht die Bundesregierung einen eigenen Weg. Der zuvor geplante Gleichlauf mit dem Kritis-Dachgesetz findet nicht mehr statt. Statt auf eine koordinierte Gesamtregelung für Cyber- und Objektschutz zu setzen, entwickelt das Bundesinnenministerium die NIS-2-Umsetzung isoliert weiter.
Verweise auf das Kritis-Dachgesetz entfallen
Im aktuellen Entwurf ist die Kritis-Verordnung direkt in das NIS-2-Gesetz eingebunden. Sozialversicherungsträger und die IT-Systeme der Bundesagentur für Arbeit werden darin als kritische Anlagen definiert. Gleichzeitig entfallen alle bisherigen Verweise auf das Kritis-Dachgesetz. Die geplante strukturelle Verbindung beider Gesetzeswerke ist damit aufgegeben. Das betrifft auch inhaltliche Bezüge wie ein einheitliches Meldewesen oder gemeinsame Sicherheitsstandards.
Keine Priorität für physische KRITIS-Sicherheit
Nach aktuellen Informationen hat das Kritis-Dachgesetz in der neuen Legislatur keinen politischen Vorrang. Ob es in der geplanten Form weiterverfolgt wird, ist offen. Auch der Name, der unter Innenministerin Faeser eingeführt wurde, scheint nicht gesichert. Damit geraten Schutzmaßnahmen gegen physische Gefahren wie Naturereignisse oder Sabotage in den Hintergrund. Die zugrunde liegende CER-Richtlinie der EU bleibt davon unberührt, allerdings gelten dort gestaffelte Umsetzungsfristen.
EU-Verfahren wegen verspäteter Umsetzung
Sowohl die NIS-2- als auch die CER-Richtlinie hätten bis Oktober 2024 in deutsches Recht überführt werden müssen. Die EU-Kommission hat deshalb Vertragsverletzungsverfahren gegen Deutschland eingeleitet. Für NIS-2 wurde bereits die zweite Stufe eingeleitet. Bei der CER-Richtlinie blieb es bislang bei der ersten Mahnung.
Fazit
Die Trennung der Gesetzesinitiativen schwächt das Ziel, kritische Infrastrukturen ganzheitlich zu schützen. Während die NIS-2-Umsetzung konkrete Fortschritte zeigt, verliert das Kritis-Dachgesetz an Sichtbarkeit. Für Betreiber kritischer Anlagen bedeutet das: Sie müssen weiterhin mit parallelen, teilweise unkoordinierten Anforderungen rechnen.
weiterführende Links:
Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
BSI – NIS-2 – was tun?
BSI – NIS-2-regulierte Unternehmen
KMU und NIS-2: Neue Pflichten für Unternehmen
NIS-2: Was Sie über den neuen Referentenentwurf wissen müssen
NIS2-Umsetzung: Kommt das neue BSI-Gesetz jetzt im Eiltempo?
Allianz Risk Barometer 2025: Cybercrime größtes Risiko für Firmen – Lanzrath CyberSec
NIS2 & Cybersecurity: Warum Sicherheit kein Luxus sein darf – Lanzrath CyberSec
Bild: DALL·E 3 | OpenAI