NIS-2-Richtlinie

Die Richtlinie ist fertig ausverhandelt und wird voraussichtlich noch im Dezember 2022 offiziell veröffentlicht und damit in Kraft gesetzt werden. Als nationale Umsetzungsfrist sind 21 Monate vorgesehen, sodass damit zu rechnen ist, dass die NIS-2-Richtlinie im Herbst 2024 in Kraft treten wird und die NIS-1-Richtlinie ablösen wird.

Generell werden alle NIS-1-Betroffenen auch von der NIS-2 betroffen sein, die Nomenklatur ändert sich aber: Aus den Betreibern wesentlicher Dienste (BwD) werden Wesentliche Einrichtungen, die auch in Zukunft ex ante geprüft werden müssen, die sogenannten Anbieter digitaler Dienste werden zu einem Teil der Wichtigen Einrichtungen.

Auf Grund der neu hinzukommenden Branchen und Bereiche und des Wegfalls der Schwellwerte in den NIS-1-Betroffenen Bereichen, wird die Zahl der derzeit 99 BwDs voraussichtlich auf mehr mehr als 3.000 anwachsen. Derzeitige Schätzungen gehen von ca. 900 Wesentlichen Einrichtungen und ca. 2.500 Wichtigen Einrichtungen aus.

Folgende Branchen kommen neu in den Bereich der Wesentlichen Einrichtungen hinzu:

  • Energie: Fernwärme und Wasserstoff
  • Verkehr: Schifffahrt
  • Gesundheitsbereich: Labore, Forschung und Herstellung von pharmazeutischen und medizinischen Produkten und Geräten
  • Digitale Infrastruktur: Betreiber von Rechenzentren, Inhaltszustellnetze, Vertrauensdiensteanbieter und öffentliche elektronische Kommunikationsnetze

und als gänzlich neu betroffen kommen die Bereiche Abwasser, Weltraum und die öffentliche Verwaltung (jedenfalls der Bundesdienst und die Länder, optional auch Gemeinden) hinzu.

Neben der Ausweitung der Anzahl der betroffenen Einrichtungen bilden die Haftung und Schulungsverpflichtung des Topmanagements und die stark gestiegenen Höchststrafen für die Einrichtungen einen geeigneten Hebel, um der neuen Richtlinie zu einer schnellen und angemessenen Umsetzung zu verhelfen!

Die OCG plant im Q1 und Q2/2023 gemeinsam mit einigen Partnern mehrere Informationsveranstaltungen zu diesem Thema.