Gesetz zur Umsetzung der NIS-2-Richtlinie - NIS2UmsuCG
Anlass zur Stellungnahme:
Am 23. Juni 2025 veröffentlichte das BMI den Referentenentwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung. Durch den Gesetzentwurf wird die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27. Dezember 2022, S. 80, im Folgenden NIS-2-Richtlinie) auf Bundesebene umgesetzt. Entsprechend der unionsrechtlichen Vorgaben wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I 2015 S. 1324) und dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert, zusätzlich werden entsprechende Vorgaben für die Bundesverwaltung eingeführt.
Die GDD verfolgt das Ziel, die datenverarbeitenden Stellen bei der Lösung und Umsetzung der vielfältigen mit Datenschutz und Datensicherheit verbundenen rechtlichen, technischen und organisatorischen Anforderungen zu unterstützen. Dabei steht die Umsetzung der NIS-2-Richtlinie derzeit auch für die über 3500 GDD-Mitglieder im Fokus. Angesichts der fortwährenden Bedrohungslage für die IT-Sicherheit und die bereits abgelaufene Umsetzungsfrist, begrüßt die GDD, dass die neue Bundesregierung dieses Vorhaben nun mit Priorität wiederaufgreift und zügig vorantreibt. Als Fachgesellschaft erlaubt sich die GDD die nachfolgende Stellungnahme zum Entwurf, da wir hoffen, so zu einer angemessenen Lösung beitragen zu können, die der Cybersicherheit ebenso Rechnung trägt, wie der Reduzierung der Umsetzungsbelastung auf das dafür notwendige Maß.