Einigung in Brüssel zur neuen NIS 2-Richtlinie Text zur Einigung zwischen Ministerrat und EU-Parlament ist verfügbar

Am 16. Dezember 2020 hatte die EU-Kommission einen Vorschlag für die NIS 2-Richtlinie vorgelegt. Hierbei handelt es sich um die Neufassung der NIS-Richtlinie aus dem Jahr 2016, die Basis für das deutsche IT-Sicherheitsgesetz 1.0 war. Zur Veröffentlichung hatte der VKU ausführlich berichtet. Nach über einem Jahr Arbeit am Gesetz wurde am 13. Mai 2022 eine Einigung zur überarbeiteten NIS 2-Richtlinie erzielt. Der Kompromisstext wurde kürzlich in englischer Sprache bekannt gemacht.

Nach erster Prüfung sind insbesondere folgende Punkte für die kommunalen Unternehmen relevant:

• Durch die NIS 2-Richtlinie werden künftig alle mittleren und großen Unternehmen in den einschlägigen Sektoren Cybersicherheitspflichten unterworfen. Lediglich Kleinst- und kleine Unternehmen im Sinne der KMU-Definition wären aus dem Geltungsbereich ausgenommen (weniger als 50 Beschäftigte und nicht mehr als 10 Mio. Euro Jahresumsatz bzw. Jahresbilanz). Damit würde voraussichtlich eine Vielzahl von Unternehmen in Deutschland erstmals cybersicherheitspflichtig, da die bundesgesetzlichen Reglungen (insbesondere das BSI-Gesetz und die BSI-Kritisverordnung) auf die Anzahl versorgter Personen abstellen.
   
• Es kommt zu einer sektoralen Ausweitung: Neben den Sektoren Energie, Verkehr, Trinkwasserversorgung und digitale Infrastrukturen fallen nun zusätzlich die Abwasserwirtschaft, die öffentliche Verwaltung und die Abfallwirtschaft in ihren Wirkungsbereich.
   
• In der NIS-Richtlinie wurde es den Mitgliedsstaaten überlassen, die konkreten IT-Sicherheitsmaßnahmen festzulegen, die von den KRITIS-Betreibern erfüllt werden müssen. Die NIS 2-Richtlinie verpflichtet hingegen zu einer Reihe von konkreten technischen und organisatorischen Maßnahmen.
   
• Es werden Meldepflichten mit festen Zeiträumen bei IT-Sicherheitsvorfällen eingeführt. Eine erste Information der einschlägigen Behörde muss nach maximal 24 Stunden vorgenommen werden. Zudem müssen von IT-Sicherheitsvorfällen betroffene Unternehmen teilweise Dritte (z.B. ihre Kunden) über den IT-Sicherheitsvorfall informieren. Die Warnung der Dritten (oder ggf. der Öffentlichkeit) kann teilweise auch von Behörden übernommen werden.
   
• Der Bußgeldrahmen wird angepasst. Er beträgt bei wesentlichen Einrichtungen bis zu 10 Mio. Euro / 2% des Jahresumsatzes und bei wichtigen Einrichtungen bis zu 7 Mio. Euro / 1,4 % des Jahresumsatzes.

Der politische Kompromiss zur NIS 2-Richtlinie muss noch formell verabschiedet und in alle Amtssprachen der EU übersetzt werden, bevor er im Amtsblatt offiziell veröffentlicht werden kann und in Kraft tritt. Nach dem Inkrafttreten der NIS 2-Richtlinie haben die Mitgliedsstaaten 21 Monate Zeit, diese Richtlinie in nationales Recht umzusetzen. Hierfür wird das deutsche IT-Sicherheitsgesetz 2.0 überarbeitet werden müssen. Diesen Prozess wird der VKU eng begleiten, da die Umsetzung über die aus der NIS 2-Richtlinie erwachsenden Pflichten für kommunale Unternehmen entscheidet.

Für weitere Informationen melden Sie sich bitte im geschützten Mitgliederbereich an und rufen diesen Beitrag noch einmal auf.