Zeitliche Schwellenwerte für die Verpflichtungen von Organisationen unter der NIS 2-Richtlinie: Eine chronologische Analyse

13 Mai 2024

Wann tritt NIS 2 in Kraft?

NIS 2 tritt am 18. Oktober 2024 in Kraft – dies ist auch die Frist für die EU-Mitgliedstaaten, um ihre eigenen Gesetze und Regelungen auf Basis von NIS 2 zu definieren.

NIS 2 Zertifikat

NIS 2 erfordert nicht, dass wesentliche und wichtige Einrichtungen ein Zertifikat erhalten.

Allerdings können die Mitgliedstaaten (oder die EU-Kommission) vorschreiben, dass diese Einrichtungen bestimmte IT-Produkte oder -Dienste verwenden, die gemäß dem europäischen Cyber-Sicherheitszertifizierungsrahmen (EU-Verordnung 2019/881) zertifiziert sind.

Ist die NIS 2 Richtlinie in Deutschland bereits in Kraft?

Die zweite EU-Richtlinie zur Netz- und Informationssicherheit (NIS 2 Richtlinie) wurde am 27.12.2022 angenommen und im Amtsblatt der Europäischen Union L333 veröffentlicht.

Sie trat am 16. Januar 2023 in Kraft.

Die Mitgliedstaaten haben bis Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen.

In Deutschland ist das nationale Gesetz, das die NIS 2-Richtlinie umsetzt, derzeit noch ein Entwurf. Das Bundesministerium des Innern und für Heimat ist dafür verantwortlich. Die Koordination innerhalb der Bundesregierung durch das BSI ist noch nicht abgeschlossen.
Entwurf der NIS2-Umsetzung Mai 2024

Fristen und Umsetzung

Das Gesetz sieht verschiedene Fristen für die Implementierung der Anforderungen vor. Das Gesetz NIS2UmsuCG soll im Oktober 2024 in Kraft treten.

Besonders wichtige Anlagen

Registrierung innerhalb von drei Monaten nach der Identifizierung gemäß §33 (1)

Teilnahme am Informationsaustausch innerhalb eines Jahres nach Inkrafttreten gemäß §30 (7)

Schlüsselanlagen

Registrierung innerhalb von drei Monaten nach der Identifizierung gemäß §33 (1)

Betreiber kritischer Infrastrukturen

Registrierung innerhalb von drei Monaten nach der Identifizierung gemäß §33 (1) und §33 (2)

Erster Nachweis, dass die Maßnahmen bis spätestens drei Jahre nach Inkrafttreten des Gesetzes, also ab 2027, gemäß §39 (1) umgesetzt wurden.

Danach alle drei Jahre kontinuierlicher Nachweis der Umsetzung der Maßnahmen gemäß §39 (1)

Teilnahme am Informationsaustausch innerhalb eines Jahres nach Inkrafttreten gemäß §30 (7)

Nachweise und Tests

Die Umsetzung der NIS2-Maßnahmen muss alle drei Jahre von den Betreibern kritischer Anlagen gegenüber dem BSI nachgewiesen werden.

Je nach eigener Registrierung sollten Prüfungen, ähnlich den vorherigen KRITIS-Validierungstests, alle drei Jahre durchgeführt werden.

Diesen Beitrag teilen

Mehr aus der Kategorie

Nach den NIS 2.0-Regelungen müssen die strafrechtlichen Sanktionen gegen illegale Organisationen überarbeitet werden

NIS-2, ISO 270013 Juni 2024

Stärkung der Cybersicherheit in der EU: Ein Leitfaden zur operativen Implementierung von NIS2

NIS-2, ISO 2700124 Mai 2024

Elementare Gefährdungen in IT-Systemen: Ein tiefgehender Blick auf die Schnittstellenrisiken

ISO 27001, NIS-216 Mai 2024

Verantwortlichkeiten der Geschäftsführung nach NIS2 (gemäß Artikel 20)

NIS-2, ISO 2700114 Mai 2024