NIS-2-Richtlinie: DMB fordert Rechtsklarheit
Das Bundesministerium des Innern und für Heimat veröffentlichte vergangene Woche einen erneut überarbeiteten Referentenentwurf für ein Umsetzungsgesetz der europäischen NIS-2-Richtlinie. Wie im DMB-Monitoring erläutert, soll die NIS-Regelung ein höheres Cybersicherheitsniveau in der Europäischen Union schaffen. Die erste NIS-Richtlinie schaffte vor allem für kritische Infrastrukturen Auflagen für ihre IT-Sicherheit. Mit dem neuen NIS-2-Rechtsrahmen werden mehr Sektoren und mittelgroße Unternehmen miteinbezogen. Außerdem können Teile ihrer IT-Lieferkette – darunter oftmals KMU – indirekt von dieser Regelung betroffen sein. Für den Mittelstand fordert der DMB daher:
1. Gesetzesprozess schnellstmöglich abschließen
Das Gesetz sollte ursprünglich bereits im März dieses Jahres beschlossen sein, um die Frist für die nationale Umsetzung des Inkrafttretens bis zum 17. Oktober mit einer halbjährigen Vorlaufzeit einzuhalten. Zwar erkennt der DMB an, dass die Verzögerung mit dem positiven Effekt von notwendigen Nachbesserungen des umfangreichen Gesetzesentwurfs einhergehen. Dennoch verbleiben nur fünf Monate bis zum Fristende, obwohl IT-Anpassungen eine längerfristige Vorlaufzeit benötigen und weiterhin rechtliche Unklarheit über die finalen Details bestehen. Wir appellieren daher, den Gesetzesprozess schnellstmöglich und ohne weitere Verschärfungen gegenüber der EU-Richtlinie abzuschließen.
2. Präzise Informationsangebote schaffen
Vielen mittelständischen Unternehmen ist die NIS-2-Regelung nicht bekannt. Durch die knappe Vorlaufzeit besteht die Gefahr, dass manche Unternehmen erst im Sanktionsfall von der Regelung erfahren werden. Obgleich Verbände, wie der DMB, über Informationsformate unter ihren Mitgliedern eine Grundkenntnis zur Regulatorik schaffen, können damit nicht alle potenziell betroffenen Unternehmen in Deutschland erreicht werden. Folglich steht der Bund in der Verantwortung, die Unternehmen umfassend auf die neuen Rechtslagen hinzuweisen und eindeutig zu definieren, welche Unternehmen unter welchen Voraussetzungen die Anforderungen erfüllen sollen.
3. Zuliefererunternehmen ausreichend berücksichtigen
Unternehmen aus den ausgewiesenen kritischen Sektoren können bereits ab 50 Beschäftigten unter diese Regelung fallen. Ein Teil dieser regulatorischen Verpflichtung bezieht zusätzlich ihre Lieferkette mit ein, weshalb sie auch an kleinere Unternehmen Vorgaben der NIS-2-Regelung weitergeben können. Das kann für Betriebe dazu führen, dass für Sie wichtige Handelspartner wegfallen, wenn Sie die Auflagen aus zeitlichen oder ökonomischen Gründen nicht vollständig erfüllen können. Hier bedarf es Unterstützung seitens des Bundes sowohl durch umfangreichere IT-Sicherheitsförderungen als auch in Form einer stärkeren Berücksichtigung im Rechtsrahmen, um die wirtschaftlichen Konsequenzen für Betriebe abzufedern.