Timeline

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die weiterentwickelte europäische Regelung zur Cybersicherheit, die die NIS1-Richtlinie ablöst. Sie stellt höhere Anforderungen an die Cybersicherheit von Unternehmen und Behörden in den Mitgliedsstaaten der EU. Ihr Ziel ist es, die Abwehrfähigkeit gegen Cyberbedrohungen zu stärken und einheitliche Sicherheitsstandards innerhalb der EU zu schaffen. Die neuen Vorgaben verlangen von der KEP-Branche u.a. eine Erhöhung ihrer IT-Sicherheitsstandards, sondern auch die Einführung von Meldepflichten bei Cybervorfällen. Der Gesetzgebungsprozess in Deutschland für die Umsetzung der NIS2-Richtlinie befindet sich aktuell in einer entscheidenden Phase.

Gesetzgebungsprozess: Schritt für Schritt

1. Initiierung auf europäischer Ebene
   Die NIS2-Richtlinie wurde am 27. Dezember 2022 von der Europäischen Union verabschiedet. Ziel ist es, bestehende Schwächen in der Cybersicherheit zu beheben und neue Standards einzuführen, die auf die sich weiterentwickelnden Bedrohungen reagieren. Jedes EU-Mitgliedsland, einschließlich Deutschland, ist verpflichtet, die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen.
   
   
2. Erarbeitung des deutschen Gesetzentwurfs
   In Deutschland wird die Umsetzung der NIS2-Richtlinie auf Bundesebene vorbereitet. Der Entwurf für das nationale Gesetz wurde von der Bundesregierung ausgearbeitet und durchläuft derzeit den parlamentarischen Gesetzgebungsprozess. Unternehmen, Behörden und weitere kritische Infrastrukturen sind durch die neuen Anforderungen gefordert, ihre Cybersicherheitsmaßnahmen erheblich zu verstärken.
   
   
3. Zeitschiene (12. September 2024)
   Am 12. September 2024 wurde der Gesetzentwurf im Innenausschuss des Bundesrates ausführlich beraten. In dieser Sitzung hatten die Ländervertreter die Gelegenheit, ihre Bedenken, Fragen und Änderungsvorschläge einzubringen. Der Innenausschuss spielt eine zentrale Rolle in der Bewertung, da die Länder als wichtige Partner bei der Umsetzung der Cybersicherheitsanforderungen gelten, insbesondere auf Ebene der Behörden und der kommunalen Infrastrukturen.
   
   
4. Diskussion und Entscheidung im Bundesrat (27. September 2024)
   Der nächste wichtige Schritt im Gesetzgebungsprozess ist die Behandlung des Gesetzentwurfs im Bundesratsplenum am 27. September 2024. Hier entscheiden die Ländervertreter über den Entwurf und bringen mögliche Änderungen ein. Der Bundesrat kann dem Gesetzentwurf zustimmen, ihn ablehnen oder Änderungen verlangen. Da es sich bei der NIS2-Richtlinie um eine EU-Verordnung handelt, besteht für Deutschland jedoch die Verpflichtung, die Richtlinie fristgerecht in nationales Recht umzusetzen.

5. Nach der Beratung im Bundesratsplenum am 27. September 2024 wird das Gesetz seinen Weg durch den parlamentarischen Prozess im Bundestag fortsetzen. In der Sitzungswoche vom 7. bis 11. Oktober 2024 könnte der Gesetzentwurf in die erste Lesung im Bundestag eingebracht werden. Hier erfolgt eine grundsätzliche Debatte über die Notwendigkeit und die Inhalte des Gesetzes.
   
   
6. Nach der ersten Lesung wird der Entwurf in die entsprechenden Ausschüsse des Bundestages überwiesen, darunter typischerweise der Innenausschuss und weitere Fachausschüsse, die sich mit dem Thema Cybersicherheit befassen. Diese Ausschüsse beraten den Entwurf, nehmen eventuell Änderungen vor und bereiten die zweite Lesung vor.
   
   
7. In der zweiten und dritten Lesung wird das Gesetz dann erneut im Bundestag diskutiert und zur Abstimmung gestellt. Sollte es zu Verzögerungen oder weiteren Beratungen kommen, könnte der Zeitplan leicht variieren. Sollte der Bundestag den Entwurf beschließen, wird er erneut an den Bundesrat zurückverwiesen, allerdings ist das Gesetz nicht zustimmungspflichtig.
   
   
8. Der Bundesrat wird je nach Verlauf entweder am November, am 20. Dezember 2024, oder zu einem späteren Zeitpunkt über das Gesetz final entscheiden.
   
   

Den Gesetzgebungsprozess kann man über diesen DIP-Link nachverfolgen:

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz