NIS2-Update zum Gesetzgebungsverfahren: Auswirkungen auf den Anwendungsbereich
Das Gesetzgebungsverfahren zur Umsetzung der Ende 2022 verabschiedeten Network-and-Information-Security-Richtlinie 2.0 (NIS2-Richtlinie) in Deutschland ist noch immer nicht abgeschlossen. Bis zum 17.10.2024 hatten die nationalen Gesetzgeber der EU-Mitgliedstaaten Zeit, die Vorgaben der NIS2-Richtlinie in ihre jeweiligen IT-Sicherheitsgesetze zu überführen. Der deutsche Gesetzgeber hat – als nur einer von vielen Mitgliedstaaten – diese Frist versäumt, weshalb unter anderem gegen die Bundesrepublik Deutschland ein von der Europäischen Kommission angestoßenes Vertragsverletzungsverfahren läuft (siehe zu weiteren Mitgliedstaaten hier).
Durch die vorgezogenen Neuwahlen zum Deutschen Bundestag und das damit einhergehende vorzeitige Ende der Legislaturperiode hat das bis dahin weit fortgeschrittene Gesetzgebungsverfahren eine zeitliche Zäsur erfahren. Knapp ein halbes Jahr herrschte Funkstille, was offizielle Verlautbarungen der Gesetzgebungsorgane betraf. Unter der zwischenzeitlich konstituierten neuen Bundesregierung hat das Verfahren zur Umsetzung der NIS2-Richtlinie in Deutschland nun wieder Fahrt aufgenommen. Neue Referentenentwürfe des weiterhin zuständigen Bundesinnenministeriums wurden zunächst mit Bearbeitungsstand vom 26.05.2025 und am 24.06.2025 mit Bearbeitungsstand vom 23.06.2025 publik.
Erhebliche Änderungen zum Anwendungsbereich
Der zunächst publik gewordene Referentenentwurf vom 26.05.2025 machte deutlich, dass der Gesetzgeber maßgeblich auf dem in der vorherigen Legislaturperiode debattierten Regierungsentwurf eines „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes“ (NIS2UmsuCG) aufsetzte und diesen nur punktuell aktualisiert hatte. Erhebliche, auch für (potenziell) betroffene Unternehmen höchst relevante Änderungen hat der Referentenentwurf aber mit seiner am Dienstag veröffentlichten Fassung vom 23.06.2025 erfahren. Der deutsche Gesetzgeber beabsichtigt insbesondere weiterhin, die NIS2-Richtlinie in Deutschland im Wege einer Totalrevision des BSI-Gesetzes (BSIG) umzusetzen.
Ursprünglich plante der deutsche Gesetzgeber eine Einschränkung des Anwendungsbereichs, die in dieser Form jedenfalls nicht unmittelbar im verbindlichen Teil der NIS2-Richtlinie angelegt war: Die für die Anwendbarkeit maßgeblichen Schwellenwerte für die Zahl der Beschäftigten sowie den Jahresumsatz und die Jahresbilanzsumme eines Unternehmens waren danach zu bestimmen, ob diese für die dem einschlägigen NIS2-Sektor zuzurechnende Geschäftstätigkeit überschritten waren. Dadurch wären Unternehmen, die mehrere Geschäftszweige haben, von denen nur einer oder wenige einem NIS2-Sektor zuzuordnen sind und mit dem das Unternehmen nur einen Bruchteil des Gesamtumsatzes erwirtschaftet oder hierfür nur einen Teil seiner Beschäftigten einsetzt, potenziell vom Anwendungsbereich des BSIG ausgenommen.
Im jüngsten Referentenentwurf vom 23.06.2025 fehlt diese Einschränkung nun erstmals komplett. Ersetzt wurde sie durch eine Einschränkung des Anwendungsbereichs, wonach bei der Zuordnung eines Unternehmens zu einem NIS2-Sektor solche Geschäftstätigkeiten unberücksichtigt bleiben sollen, „die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind“. Ähnlich wie nach der vorhergehenden Regelung werden dadurch vor allem Unternehmen, die in mehreren Sparten aktiv sind, von denen ein lediglich untergeordneter Geschäftsbereich einem NIS2-Sektor zuzuordnen ist, vor einer übermäßigen Belastung aufgrund umfänglicher Anwendbarkeit des BSIG geschützt. Allerdings stehen Unternehmen vor der Herausforderung, zu ermitteln, welche ihrer Geschäftstätigkeiten als „vernachlässigbar“ einzustufen sind.
Gesetzgebungsprozess eng verfolgen
Der jüngste Referentenentwurf verdeutlicht, dass eine belastbare Einschätzung der Anwendbarkeit des neu gefassten BSIG für viele Unternehmen derzeit teilweise nur mit Vorbehalten möglich ist. Insbesondere zeigt die Tatsache, dass das Bundesinnenministerium auch gravierende Änderungen noch binnen kürzester Zeit in seine Referentenentwürfe aufnimmt, dass im weiteren Verlauf des Gesetzgebungsverfahrens auch materielle Änderungen nicht ausgeschlossen sind. Unternehmen, die aufgrund ihrer Geschäftstätigkeiten potenziell einem oder mehreren NIS2-Sektoren unterfallen könnten, ist daher dringend zu raten, das Gesetzgebungsverfahren weiter eng zu verfolgen.
Im Rahmen der Beteiligung von Fachkreisen und Verbänden können Stellungnahmen bis zum 04.07.2025 eingereicht werden. Noerr wird sich über den TeleTrusT hieran beteiligen.
Weitere Tipps von uns zur Vorbereitung auf die NIS2-Richtlinie finden Sie hier.
Bestens
informiert
Jetzt unseren Newsletter abonnieren, um zu aktuellen Entwicklungen auf dem Laufenden zu bleiben.
Jetzt anmelden