Verabschiedung fehlgeschlagen – Wie geht es weiter mit NIS2-Umsetzungsgesetz und KRITIS-Dachgesetz?

Lange wurde noch um eine Lösung gekämpft, jetzt ist aber klar: Die Verhandlungen im Bundestag zu den beiden geplanten Entwürfe zum NIS2-Umsetzungsgesetz und zum KRITIS-Dachgesetz sind gescheitert. Beide Gesetze werden somit nicht mehr in der aktuellen Legislaturperiode verabschiedet. Nachfolgend soll ein Überblick gegeben werden, wie es mit der Umsetzung der dahinterstehenden europäischen Vorgaben weitergeht und worauf sich Unternehmen einstellen sollten.

Was bedeutet die gescheiterte Verabschiedung der Gesetze?

Angesichts der fehlgeschlagenen Verabschiedung der beiden Umsetzungsgesetze steht nun endgültig fest, dass die Vorgaben der NIS2-Richtlinie und der CER-Richtlinie bis auf Weiteres nicht in deutsches Recht umgesetzt werden. Gleichzeitig bedeutet dies aber nicht, dass eine Umsetzung der beiden Richtlinien nun endgültig auf Eis liegt. Im Gegenteil: Da es sich bei der NIS2-Richtlinie und der CER-Richtlinie um europäische Vorgaben handelt, sind diese zwingend in deutsches Recht umzusetzen.

Es wird daher Aufgabe der kommenden Bundesregierung sein, die Vorgaben der beiden Richtlinien in deutsches Recht umzusetzen. Insoweit bleibt abzuwarten, ob die kommende Bundesregierung die aktuellen Umsetzungsentwürfe wieder aufgreifen oder mit komplett neuen Umsetzungsentwürfen ins Gesetzgebungsverfahren gehen wird. In jedem Fall müssen die Entwürfe aber in den neu konstituierten Bundestag erneut eingebracht, beraten und sodann verabschiedet werden.

Wann dies schlussendlich der Fall sein wird, ist aktuell nicht realistisch einzuschätzen. So oder so ist allerdings mit einer weiteren, erheblichen Verzögerung zu rechnen, bis die europäischen Vorgaben der der NIS2-Richtlinie und der CER-Richtlinie unmittelbar in Deutschland gelten werden. Einzelne Experten rechnen damit, dass die Umsetzung erst gegen Ende dieses Jahres erfolgen wird. Belastbare Einschätzung gibt es hierzu allerdings nicht.

Worauf sollten Unternehmen jetzt achten?

Auf den ersten Blick dürften potenziell betroffene Unternehmen zunächst einmal aufatmen. Getreu dem Motto „Aufgeschoben ist nicht aufgehoben“ sollten Unternehmen aber nicht untätig bleiben, sondern die weiteren Entwicklungen weiter genau im Auge behalten und die zusätzlich gewonnene Zeit effektiv nutzen, um sich auf die kommenden Vorgaben vorzubereiten. Die Frage ist nämlich nicht, ob die neuen europäischen Vorgaben in Deutschland umgesetzt werden, sondern lediglich zu welchem Zeitpunkt.
Insoweit ist Unternehmen zu empfehlen, sich weiterhin mit der Frage zu beschäftigen, ob sie in den Anwendungsbereich der NIS2- und CER-Richtlinien fallen und, soweit der Fall, welche Vorgaben sie konkret umsetzen (werden) müssen. Dies betrifft insbesondere die Umsetzung von technischen und organisatorischen Sicherheitsmaßnahmen. Insoweit bietet es sich gegenwärtig an, sowohl an den europäischen Vorgaben in den beiden Richtlinien als auch den aktuellen Umsetzungsentwürfen zu orientieren.