Neuer Referentenentwurf zum NIS2UmsuCG:
Cybersicherheit und NIS-2 im Bund: Wenn es am Geld scheitert. Offenbar will das BMI für den Bund strengere Security-Anforderungen umsetzen, als es die EU fordert und da formiert sich dann der Widerstand aus den Ressorts. Das ist wohl einer der Hauptgründe dafür, dass die Umsetzungsfrist im Oktober 2024 nun gerissen wird.
Bei den eigentlichen Pflichten für die Wirtschaft soll sich aber nicht so viel getan haben und es kann wohl im Wesentlichen auf den Stand des Diskussionspapiers aus letztem Jahr verwiesen werden. Nur die Verschränkung mit dem KRITIS-DachG wird ausgebaut, was aber erst einmal gut ist.
Eine ganz zentrale Info, die sicherlich viele interessieren wird: Das BSI soll die explizite Aufgabe bekommen, „praxisnahe Handreichungen“ zur Umsetzung des Risikomanagements zu erstellen. Trotz dieser Vorgabe wird man aber nicht davon ausgehen können, dass mit einem Mal für alle Branchen konkrete Sicherheitsvorgaben existieren. Vieles dürfte daher bei der nach wie vor bestehenden Einschätzung bleiben, dass Betriebe und Branchen erst einmal selbst verpflichtet sind, herauszufinden, was Cybersecurity-Risikomanagement für sie konkret bedeutet.
Umgesetzte Maßnahmen zum Risikomanagement sind zu dokumentieren.
Gleichzeitig wurden auch die zahlenmäßigen Erfüllungsaufwände für die Wirtschaft auf 2,3 Milliarden EUR jährlich erhöht.
„Wichtige“ und „besonders wichtige“ Anlagen sollen keine pauschalen Nachweispflichten bekommen. Im Einzelfall bzw. auf Verdacht kann das BSI aber Nachweise verlangen, aber wohl erst frühestens drei Jahre nach Inkrafttreten der Regelungen. Außerdem können sie sich am Informationsaustausch über ein „Online-Informationsportal“ beteiligen.
Last but not least soll das NIS2UmsuG in Teilen zwei Jahre nach Verkündung evaluiert werden.
#nis2 #cybersecurity #nis2umsucg