Wo stehen die Länder bei der Umsetzung der NIS-2-Richtlinie?
Die Frist zur Umsetzung der NIS 2 Richtlinie läuft bis zum 17.10.2024. Im Vordergrund des öffentlichen Diskurses steht dabei die Umsetzung durch den Bund in Form des NIS2UmsuCG. Der Bund kann die Richtlinie aber nur im Rahmen seiner Kompetenzen umsetzen. Die Regelungen der NIS 2 Richtlinie erfassen eine Vielzahl von Bereichen, für die dem Bund die Gesetzgebungskompetenz fehlt. Eine vollständige Umsetzung der NIS 2 Richtlinie ist daher nur unter Mitwirkung der Länder möglich.
Die Länder können optional vorsehen, dass Verwaltungseinrichtungen auf kommunaler Ebene sowie Bildungseinrichtungen mitverpflichtet werden, Art. 2 Abs. 5 NIS 2 Richtlinie. Der IT-Planungsrat (zentrales Steuerungsgremium zwischen Bund und Ländern im Bereich der Informationstechnik) hat die Länder in einem aktuellen Beschluss gebeten, von dieser Option keinen Gebrauch zu machen.
Die IT-Sicherheit der Landes- und Kommunalverwaltung wird davon abhängig sein, welche Regelungen die Länder in diesem Jahr erlassen werden. Umso wichtiger erscheint es, die Verantwortung der Länder endlich in die öffentliche Debatte miteinzubeziehen. Bisher ist völlig unklar, ob und inwieweit die Länder kurz-, mittel- und langfristig ihren Teil zur Umsetzung der NIS 2 Richtlinie umsetzen werden.
Um die Lage besser einschätzen zu können, haben wir bei den Ländern direkt nachgefragt: Welche IT-Sicherheitsvorschriften bestehen aktuell? Genügen sie den Anforderungen der NIS 2 Richtlinie? Welche konkreten Umsetzungspläne bestehen ansonsten? Und schließlich: Werden Einrichtungen der kommunalen Verwaltung und Bildungseinrichtungen in die Umsetzung miteinbezogen?
In dieser Tabelle erhalten Sie einen Überblick über die bisherigen Antworten der Länder. Interessierte können auch die Antworten im Volltext nachlesen. Weitere Informationen erhalten Sie auch auf unserer LinkedIn-Seite.
Stand: 28.02.2024
Bundesland | IT-Sicherheitsgesetz vorhanden | NIS-2 konform | Pläne zum Erlass eines neuen Gesetzes | Kommunale Verwaltung in NIS 2 Vorschriften einbezogen | Stellungnahme Landesregierung |
Baden-Württemberg | Ja, EGovG BW, CSG BW | Nein | Nein, ggf. Anpassung | Nein | Link |
Bayern | |||||
Berlin | |||||
Brandenburg | Nein | Nein | Unklar | Nein | Link |
Bremen | Nein | Nein | Ja | Unklar | Link |
Hamburg | |||||
Hessen | Ja, HITSiG | Nein | Anpassung geplant | Nein | Link |
Mecklenburg-Vorpommern | Nein | Nein | Ja | Unklar | Link |
Niedersachsen | Ja, NDIG | Nein | Nein | Nein | Link |
Nordrhein-Westfalen | |||||
Rheinland-Pfalz | |||||
Saarland | Ja, IT-SiG SL | Nein | Nein, ggf. Anpassung | Nein | Link |
Sachsen | Ja, SächsISichG | Nein | Anpassung geplant | Unklar | Link |
Sachsen-Anhalt | Nein | Nein | Ja | Unklar | Link |
Schleswig-Holstein | |||||
Thüringen | Nein | Nein | Nein | Nein | Link |
Unser Zwischenfazit:
Während im Vordergrund des öffentlichen Diskurses die Umsetzung der NIS2-Richtlinie durch den Bund in Form des NIS2UmsuCG steht, wird die zur vollständigen Umsetzung erforderliche Mitwirkung der Länder kaum beachtet.
Diesbezüglich ist noch vieles unklar: Welche IT-Sicherheitsvorschriften bestehen in den Ländern aktuell und genügen diese bereits den Anforderungen der NIS-2-Richtlinie? In welcher Form soll den Anforderungen genüge getan werden, und wie weit sind die Planungen der Länder hierbei?
Werden die Länder von der Option des Art. 2 Abs. 5 NIS-2-Richtlinie Gebrauch machen und die Kommunalverwaltung sowie Bildungseinrichtungen mitverpflichten? Der IT-Planungsrat hat die Länder im Beschluss 2023/39 gebeten, von dieser Möglichkeit keinen Gebrauch zu machen. Dabei wäre gerade die Einbeziehung der Kommunalverwaltung in den Anwendungsbereich erforderlich, um für ein flächendeckendes angemessenes IT-Sicherheitsniveau zu sorgen, eine effiziente digitale Verwaltung zu gewährleisten und nicht zuletzt das Vertrauen der Bürgerinnen und Bürger in die demokratischen Prozesse und die Digitalisierung zu stärken.
Um für Klarheit und Transparenz zu sorgen, hat unser Karsten U. Bartels LL.M. am 20.12.2023 bei den Ländern nachgefragt: Wo stehen die Länder bei der Umsetzung der NIS-2-Richtlinie? (https://lnkd.in/e3cxe4nG)
Die Antworten könnten nicht verschiedener sein: Während manche Länder bereits IT-Sicherheitsgesetze vorweisen können (u. a. Baden-Württemberg, Hessen und Niedersachsen), verfügen andere Länder (u. a. Bremen, Sachsen-Anhalt und Thüringen) noch über kein landeseigenes ITSiG. Als richtlinienkonform wurde keines der bestehenden Sicherheitsgesetze ausgewiesen.
Bedenklich: In manchen Ländern, in denen noch kein ITSiG besteht, ist auch keines in Planung. Dem Stellenwert der IT-Sicherheit kann aber nicht durch bloße Verwaltungsvorschriften Rechnung getragen werden.
Und wie steht es um Kommunalverwaltung und Bildungseinrichtungen? Manche Länder sehen bereits jetzt Verpflichtungen für Einrichtungen der kommunalen Verwaltung vor. Eine Einbeziehung in den Anwendungsberiech der NIS-2-Richtlinie ist aber explizit bei keinem Bundesland geplant. Der Großteil der Länder beruft sich vielmehr auf den Beschluss des IT-Planungsrats.
Überblick über Entwürfe und Stände NIS2UmsuCG
Für Ihren Einstieg in das neue IT-Sicherheitsgesetz stellen wir Ihnen hier einmal einen Überblick zur aktuellen Dokumentenlage zusammen.
Die Grundlage stellt die NIS-2-Richtlinie der EU dar, die Sie hier finden: https://lnkd.in/dFFfKAvz. Sie muss von den Mitgliedstaaten bis zum 17.10.2024 in nationales Recht umgesetzt sein. Ab 18.10. hat die nationale Umsetzung zu gelten.
Das für die Umsetzung nötige deutsche Umsetzungsgesetz gibt es noch nicht. Es wird (wohl) „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“, kürzer „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“, noch kürzer NIS2UmsuCG heißen.
Die ersten beiden Referentenentwürfe mit Stand 03.04.2023 (Download https://lnkd.in/etX7Pvqk) und 03.07.2023 (https://lnkd.in/eCWR89rq) wurden im letzten Jahr geleakt.
Der erste amtliche Text war ein unvollständiges „Diskussionspapier“ vom 27.09.2023 (Hintergrund: https://lnkd.in/eYwW372x). Den Text finden Sie hier: https://lnkd.in/eD4NjnnP.
Zuletzt wurde nun ein Referentenentwurf geleakt, der vom 22.12.2023 stammt. Er enthält Anpassungen, die aus dem Werkstattgespräch des BMI vom 26.10.2023 mit den Fachverbänden und deren Eingaben hervorgegangen sind. Sie finden ihn hier: https://lnkd.in/e3NhnT8j
Update zum neuen IT-Sicherheitsgesetz (NIS2UmsuCG)
Ich habe heute mit dem Bundesministerium des Innern über den Stand der Umsetzung der NIS-2-Richlinie gesprochen.
Man sei nach dem Werkstattgespräch im Oktober mit einem weiteren Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes NIS2UmsuCG in die Ressortabstimmung gegangen. Die Ressortabstimmung ist das Verfahren zur Beteiligung der anderen Bundesministerien.
Nun verhindern drei sogenannte Versendewidersprüche dreier Ressorts den erforderlichen Kabinettsbeschluss.
Die Vorbehalte beziehen sich auf die Finanzierung der Umsetzung des Gesetzes, den noch immer ungelösten Streit zwischen dem BMI und dem Bundesministerium der Justiz zur künftigen Verfasstheit des Bundesamts für Sicherheit in der Informationstechnik (BSI) und nicht näher ausgeführte ressortspezifische Belange.
Damit sei klar, dass der 17. Oktober 2024 (Fristende für die Umsetzung der NIS-2-Richtlinie) nicht mehr zu halten sei. Die Bundesrepublik wird vertragsbrüchig. Geschätzte Verzögerung: zwei Monate.
Dieser Ablauf war vermeidbar und ist unverständlich und ärgerlich. Sachliche Belange wären früher zu beseitigen gewesen. Und das politische Kräftemessen geht zu Lasten der Unternehmen. Zur Erinnerung: auch das Werkstattgespräch (ich berichtete https://lnkd.in/edhjbRbV) war schon eine Notlösung. Man konnte nicht über einen vollständigen Gesetzesentwurf sprechen, sondern musste mit einem nicht mit der Bundesregierung abgestimmten Diskussionspapier taktieren.
Eine zweimonatige Verzögerung mag unwesentlich klingen. Sie ist es deshalb nicht, weil auch ohne diese der Zeitplan zu knapp war – und eine planmäßige Umsetzung für Unternehmen nur unter größten Anstrengungen zu bewerkstelligen ist.
Damit sich die Unternehmen bestmöglich auf das NIS2UmsuCG vorbereiten können, habe ich angeregt, wenigstens den aktuellen Entwurf zu veröffentlichen. Wir werden sehen. Oder auch nicht.
Für die wichtigen und die besonders wichtigen Einrichtungen – inklusive der Betreiber kritischer Anlagen – heißt das alles bitte nur eines: bereiten Sie sich dennoch jetzt vor. Ein Zuwarten auf den finalen Gesetzestext ist für die wesentlichsten Pflichten nicht nötig.
Umsetzung NIS2-RL in den Ländern – Antworten
Wo stehen die Länder hinsichtlich der Umsetzung der NIS-2-Richtlinie?
Das und einiges mehr haben wir die zuständigen Stellen aller 16 Bundesländer im Dezember 2023 gefragt, siehe https://lnkd.in/eTdTMxjs.
10 Länder haben unsere Anfrage beantwortet. Hier sind die Antworten kurz zusammengefasst:
Bremen
Den europäischen Vorgaben der NIS-2-Richtlinie entsprechende Landesgesetze bestehen für Bremen noch nicht. Laut der Zentralstelle für Cybersicherheit Bremen befindet sich aber ein entsprechender Gesetzesentwurf im Gesetzgebungsverfahren, der auch die NIS-2-Richtlinie umsetzen wird.
Ob dabei Einrichtungen der kommunalen Verwaltung und Bildungseinrichtungen von den Regelungen erfasst sein werden, könne derzeit jedoch noch nicht mitgeteilt werden.
Download Antwort: https://lnkd.in/eSgmizzP
Niedersachsen
Einen anderen Ansatz wird Niedersachsen verfolgen, wie aus der Antwort des Niedersächsischen Ministeriums für Inneres und Sport hervorging. Das bereits bestehende Niedersächsische Gesetz über digitale Verwaltung und Informationssicherheit (NDIG) werde nicht an die Vorgaben der NIS-2-Richtlinie angepasst.
Stattdessen befinde sich derzeit ein Runderlass in der internen Abstimmung. Die Umsetzung soll in Niedersachsen also durch Verwaltungsvorschriften erfolgen, die spätestens zum Ende der Umsetzungsfrist am 17.10.2024 in Kraft getreten sein sollen.
Außerdem werde Niedersachsen dem Beschluss des IT-Planungsrats folgen und keine Erweiterung der Umsetzungsvorschriften auch auf kommunale Einrichtungen sowie Bildungseinrichtungen vornehmen. Die Cyberbedrohungslage sei zwar für Kommunen auf einem anhaltend hohen Niveau, die primär Unternehmen adressierende NIS-2-Richtlinie sei dafür aber nicht das richtige Instrumentarium.
Da IT-Sicherheit in Niedersachsen Teil des kommunalen Selbstverwaltungsrechts ist, sei ein Eingriff aufgrund einer Kann-Regelung der EU-Richtlinie nicht unbedenklich.
Download Antwort: https://lnkd.in/eWxnFmyA
Sachsen
In Sachsen gilt seit 2019 das Sächsische Informationssicherheitsgesetz (SächsISichG), welches laut sächsischer Staatskanzlei bereits vielen Anforderungen der NIS-2-Richtlinie genügt. Der verbleibende Umsetzungsbedarf soll durch eine Anpassung des SächsISichG sowie dem Erlass einer Meldepflichten-Verordnung erfüllt werden.
Einrichtungen der kommunalen Verwaltung und Bildungseinrichtungen seien bereits vom Anwendungsbereich des SächsISichG erfasst und hiernach IT-sicherheitsrechtlich verpflichtet (u. a. TOM, Meldepflichten, Ernennung eines Beauftragten für Informationssicherheit).
Ob den Einrichtungen der kommunalen Verwaltung und Bildungseinrichtungen im Rahmen der Umsetzung der NIS-2-Richtlinie weitergehende Verpflichtungen auferlegt werden, bleibt in Ermangelung entsprechender Angaben der sächsischen Staatskanzlei abzuwarten.
Download Antwort https://lnkd.in/eeUtbiAp
Sachsen-Anhalt
In Sachsen-Anhalt gilt derzeit lediglich die Informationssicherheitsleitlinie für die Landesverwaltung. Gesetzesvorschriften, die der NIS-2-Richtlinie genügen, bestehen noch nicht. Die Vorgaben sollen aber durch den Erlass eines entsprechenden Gesetzes bis Oktober 2024 umgesetzt werden. Ein finaler Entwurf bestehe, so das Ministerium, derzeit jedoch nicht.
Die Einbeziehung von Einrichtungen der kommunalen Verwaltung und Bildungseinrichtungen in dem Informationssicherheitsgesetz Sachsen-Anhalt sei geplant, könne angesichts des noch laufenden politischen Willensbildungsprozesses aber noch nicht sicher beantwortet werden.
Download Antwort https://lnkd.in/e4JU3RQA
Thüringen
Thüringen verfügt laut Finanzministerium über kein IT-Sicherheitsgesetz, sondern regelt IT-Sicherheitsanforderungen hauptsächlich über Verwaltungsvorschriften. Insbesondere die Thüringer Informationssicherheitsleitlinie sieht Vorgaben für die Informationssicherheit der Thüringer Landesverwaltung vor.
Die geltenden Verwaltungsvorschriften würden noch hinsichtlich der Vereinbarkeit mit den Anforderungen der NIS-2-Richtlinie geprüft und ggf. angepasst. Ein eigenes IT-Sicherheitsgesetz ist somit nicht in Aussicht.
Für die Kommunen bestehe aktuell auch nur die Empfehlung zur Umsetzung der Informationssicherheitsleitlinie. Ein gesondertes Gesetz für die Umsetzung von NIS-2 in Bezug auf die lokalen Behörden sei nicht geplant.
Download Antwort https://lnkd.in/ezW4Xv6i
Baden-Württemberg
Baden-Württembergs Innenministerium verweist auf das E-Government-Gesetz und das Cybersicherheitsgesetz des Landes sowie untergesetzlicher Regelungen, welche bereits einen Großteil der Vorgaben der NIS-2-Richtlinie abdeckten. Welcher Anpassungsbedarf darüber hinaus besteht, wurde nicht genannt. Die Umsetzungsfrist der NIS-2-Richtlinie würde aber „Beachtung finden“.
Regelungen für die Kommunalverwaltung seien bereits im EGovG BW und CSG BW enthalten und ergeben sich außerdem aus den Verträgen mit dem zentralen IT-Dienstleister. Auch die Kooperation mit der Cybersicherheitsagentur B-W wurde diesbezüglich besonders hervorgehoben. Eine Erweiterung des Anwendungsbereichs der NIS-2-Richtlinie auf die Kommunalverwaltung und Bildungseinrichtungen wird aber wohl nicht vorgenommen werden. Man verweist auf den Beschluss des IT-Planungsrats.
Download Antwort https://lnkd.in/eXY_Jw5x
Saarland
Das Ministeriums für Wirtschaft, Innovation, Digitales und Energie des Saarlandes antwortete, dass zur Umsetzung der NIS-2-Richtlinie verschiedene Varianten derzeit geprüft werden. Neben einer Anpassung des Informationssicherheitsgesetzes des Saarlandes werde auch eine Anpassung der landesinternen Informationssicherheitsleitlinie geprüft.
Die Einbeziehung von Einrichtungen der kommunalen Verwaltung und Bildungseinrichtungen in den Anwendungsbereich der Landesregelungen sei auch in Thüringen unter Verweis auf den IT-Planungsratsbeschluss nicht vorgesehen. Es würden vielmehr andere ergänzende Unterstützungsangebote für die Kommunen geprüft.
Download Antwort https://lnkd.in/enikEVuA
Mecklenburg-Vorpommern
Ein IT-Sicherheitsgesetz besteht für Mecklenburg-Vorpommern gegenwärtig nicht, sei aber in Vorbereitung, wie das Innenministerium MV mitteilen ließ. Derzeit gelten lediglich die Leitlinie zur Gewährung der Informationssicherheit in der Landesverwaltung sowie ein Informationssicherheitsmanagementkonzept. Weiterhin verwies das Innenministerium darauf, dass ein Mindestsicherheitsniveau für das Land und die Kommunen über die Anschlussbedingungen für das Datennetz „CN LAVINE“ sichergestellt werde.
Ob weiterer Anpassungsbedarf bezüglich der Einbeziehung von Kommunen und Bildungseinrichtungen besteht, sei noch zu prüfen, wobei derzeit noch keine korrespondierende Zeitplanung vorliege.
Download Antwort https://lnkd.in/eS84wvZx
Hessen
Das hessische Innenministerium gab an, dass das bestehende Hessische IT-Sicherheitsgesetz (HITSiG) noch keine vollständige Umsetzung der Vorgaben durch die NIS-2-Richtlinie beinhalte. Die Umsetzung würde aber innerhalb eines an das Umsetzungsfristende am 17.10.2024 orientierten Zeitplans erfolgen.
Eine Miteinbeziehung von Einrichtungen der kommunalen Verwaltung und Bildungseinrichtung in den Anwendungsbereich der NIS-2-Richtlinie werde nicht vorgenommen – das Innenministerium verweis hierbei auf den Beschluss des IT-Planungsrats 2023/39, der „nicht zu beanstanden“ sei. Eine weitergehende Regulierung von kommunalen und Bildungseinrichtungen werde jedoch bei der Überarbeitung des HITSiG berücksichtigt.
Download Antwort https://lnkd.in/egKbp68A