Wann tritt NIS 2 in Kraft?
NIS 2 tritt am 18. Oktober 2024 in Kraft – dies ist auch die Frist für die EU-Mitgliedstaaten, um ihre eigenen Gesetze und Regelungen auf Basis von NIS 2 zu definieren.
NIS 2 Zertifikat
NIS 2 erfordert nicht, dass wesentliche und wichtige Einrichtungen ein Zertifikat erhalten.
Allerdings können die Mitgliedstaaten (oder die EU-Kommission) vorschreiben, dass diese Einrichtungen bestimmte IT-Produkte oder -Dienste verwenden, die gemäß dem europäischen Cyber-Sicherheitszertifizierungsrahmen (EU-Verordnung 2019/881) zertifiziert sind.
Ist die NIS 2 Richtlinie in Deutschland bereits in Kraft?
Die zweite EU-Richtlinie zur Netz- und Informationssicherheit (NIS 2 Richtlinie) wurde am 27.12.2022 angenommen und im Amtsblatt der Europäischen Union L333 veröffentlicht.
Sie trat am 16. Januar 2023 in Kraft.
Die Mitgliedstaaten haben bis Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen.
In Deutschland ist das nationale Gesetz, das die NIS 2-Richtlinie umsetzt, derzeit noch ein Entwurf. Das Bundesministerium des Innern und für Heimat ist dafür verantwortlich. Die Koordination innerhalb der Bundesregierung durch das BSI ist noch nicht abgeschlossen.
Entwurf der NIS2-Umsetzung Mai 2024
Fristen und Umsetzung
Das Gesetz sieht verschiedene Fristen für die Implementierung der Anforderungen vor. Das Gesetz NIS2UmsuCG soll im Oktober 2024 in Kraft treten.
Besonders wichtige Anlagen
Registrierung innerhalb von drei Monaten nach der Identifizierung gemäß §33 (1)
Teilnahme am Informationsaustausch innerhalb eines Jahres nach Inkrafttreten gemäß §30 (7)
Schlüsselanlagen
Registrierung innerhalb von drei Monaten nach der Identifizierung gemäß §33 (1)
Betreiber kritischer Infrastrukturen
Registrierung innerhalb von drei Monaten nach der Identifizierung gemäß §33 (1) und §33 (2)
Erster Nachweis, dass die Maßnahmen bis spätestens drei Jahre nach Inkrafttreten des Gesetzes, also ab 2027, gemäß §39 (1) umgesetzt wurden.
Danach alle drei Jahre kontinuierlicher Nachweis der Umsetzung der Maßnahmen gemäß §39 (1)
Teilnahme am Informationsaustausch innerhalb eines Jahres nach Inkrafttreten gemäß §30 (7)
Nachweise und Tests
Die Umsetzung der NIS2-Maßnahmen muss alle drei Jahre von den Betreibern kritischer Anlagen gegenüber dem BSI nachgewiesen werden.
Je nach eigener Registrierung sollten Prüfungen, ähnlich den vorherigen KRITIS-Validierungstests, alle drei Jahre durchgeführt werden.