Wie geht es mit NIS-2 weiter? Aufgrund der vorgezogenen Wahlen konnte das parlamentarische Verfahren zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) nicht abgeschlossen werden. Damit fehlt vorerst die rechtliche Grundlage für viele der neuen Anforderungen, die Unternehmen im Bereich Cybersicherheit eigentlich erfüllen müssten.
Doch welche Rechtsgrundlage gilt jetzt? Besonders für Betreiber Kritischer Infrastrukturen (KRITIS) stellt sich die Frage, ob und wie die bestehenden Nachweispflichten im 2-Jahres-Turnus weiter gelten.
Unser Kollege Vinzent Ratermann, Managing Consultant und Experte für die IT-Sicherheit Kritischer Infrastrukturen, klärt auf:
Ja, der 2-jährige Turnus gilt vorerst weiterhin! Solange es noch kein Umsetzungsgesetz der NIS-2-Richtlinie in Deutschland gibt, gilt weiterhin das BSI-Gesetz, in dem ein zweijähriger Auditzyklus gefordert wird. Die neue Regierung wird erfahrungsgemäß auch ein neues Gesetz zur NIS-2-Umsetzung erstellen, womit die Zeiten aus dem aktuellen Entwurf des NIS2UmsuCG auch nochmal geändert werden können. Der Prüfzyklus kann also gegebenenfalls unverändert bleiben, auf drei oder mehr Jahre erhöht werden, oder auch auf ein Jahr verringert werden. Dies gilt es abzuwarten. Auch die Nachweispflichten für wichtige und sehr wichtige Unternehmen könnten sich noch ändern, sodass auch sehr wichtige Unternehmen einen regelmäßigen Nachweis erbringen müssen.
Meine Empfehlung lautet weiterhin: Alle KRITIS-Unternehmen sollten sich im nächsten Prüfzyklus zusätzlich nach den neuen NIS-2-Anforderungen prüfen lassen. Das ist im Auditprozess nur ein geringer Zusatzaufwand, kann aber für die weitere Maßnahmenplanung sehr nützlich sein.
Wenn Sie Unterstützung oder Beratung zu Ihrem KRITIS-Audit benötigen, kontaktieren Sie uns. Wir helfen Ihnen gerne.
