Seit Mai 2025 läuft für Deutschland eine zweimonatige Frist zur Reaktion auf eine Anfrage der EU-Kommission zur überfälligen Umsetzung der NIS2-Richtlinie (Frist war der 17. Oktober 2024) ⌛ 

Wie ist der aktuelle Stand? 

🟠 Seit Anfang Juni 2025 wird nun über einen neuen Referentenentwurf aus dem Bundesinnenministerium berichtet. 

🟠 Zu diesem können die Bundesländer, Verbände, Organisationen und Institutionen eine schriftliche Stellungnahme abgeben. 

🟠 Dann muss folgen: Kabinettsbeschluss (Regierungsentwurf), Stellungnahme im Bundesrat, Lesungen im Bundestag und der Abschluss des Gesetzes. 

🟠 Auf Länderebene wurde bereits Vorarbeit geleistet: Rheinland-Pfalz hat bereits am 8. Oktober 2024 eine Verwaltungsvorschrift zur Umsetzung der NIS-2-Richtlinie in der Landesverwaltung beschlossen (gilt für KRITIS-Einrichtungen der öffentlichen Verwaltung). Weiterhin gibt es in NRW bereits erste Anlaufstellen, z.B. für NIS2, an die sich KMU wenden können.  

Neues aus dem Referentenentwurf: 

• Maßnahmen im Risikomanagement – Zum Lieferkettenschutz findet sich nun die Formulierung „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern“; gestrichen wurde „zwischen den einzelnen Einrichtungen“. Bedeuten könnte dies, dass man als Unternehmen die Beziehung zu seiner Lieferkette betrachten muss, nicht aber jene zwischen den einzelnen Lieferanten. 

• „Cyberhygiene“ wurde in den Risikomanagement-Maßnahmen gestrichten. Stattdessen finden sich nun: „grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik“.  

• „Verschlüsselung“ wird nicht mehr genannt, sondern „Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren“ 

• Neu ist die „Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und die Verwaltung von IKT-Systemen, -Produkten und -Prozessen“. „Management der Anlagen“ wurde entfernt 

⚠️ b-pi sec schließt sich der Warnung des BSI an, welches schon seit Längerem deutlich macht: Die Umsetzung der NIS-2 Richtlinie bleibt weiterhin vordringlich! Alle betroffenen Organisationen und Unternehmen sind aufgerufen, die Forderungen der NIS2-Richtlinie nicht auf die lange Bank zu schieben, sondern bereits JETZT rechtzeitig Vorbereitungen zu treffen! 📆📝