Im Oktober fand ein Werkstatt-Gespräch zwischen Innenministerium und Wirtschafts­verbänden zur NIS2-Umsetzung statt. Besprochen wurde das Diskussionspapier zum NIS2-Umsetzungsgesetz und diverse Änderungs­wünsche. Entschärfte der Gesetzesentwurf aus September 2023 im Diskussionspapier die NIS2-Anforderungen in Deutschland schon deutlich, gab es nun viele weitere Kommentare. In den öffentlichen Folien vom BMI zum Gespräch in der Werkstatt sind nun die Reaktionen des Bundes zu diesen Wünschen enthalten. Bemerkenswerte Aspekte aus den Folien: Prüfungen sollen nur noch alle drei Jahre für Betreiber kritischer Anlagen stattfinden – für Einrichtungen soll es keine Nachweis­pflicht, dafür eine mögliche Dokumentations­pflicht geben. Generell soll der Scope der §30 NIS2-Sicherheits­maßnahmen das ganze Unternehmen umfassen. Diverse Vorschläge hat das Innenministerium laut Folien abgelehnt.
So ist es gegen den generellen Ausschluss kleiner und mittlerer Unternehmen sowie konzern­eigener IT-Dienstleister. Es ist aber auch gegen die Aufnahme von Kommunen und Ländern in die NIS2-Regulierung. Weiterhin sollen die Meldefristen nicht verlängert werden und die Size-cap-Regeln zur Größen­bestimmung nicht weiter angepasst (beschnitten) werden. Sonst noch relevante Änderungen und Anpassungen: Definitionen sollen harmonisiert werden (zu Gesetzen, Branchen) und einige Formalien und Vorgaben am Rande des Gesetzes klargestellt werden. Die besonderen Anforderungen an kritische Anlagen sollen auf den Unternehmensteil beschränkt bleiben (die Prüfungen aber nicht?). Es sind weiterhin keine Übergangsfristen in der NIS2-Umsetzung erkennbar! – und vieles mehr Aber, viele Aspekte der NIS2-Umsetzung blieben zumindest in den Folien unbesprochen: Unterschiedliche Sektor­definitionen bei Einrichtungen und Betreibern kritischer Anlagen Aufnahme der §30-Maßnahmen in TKG und EnWG und konkrete Ausgestaltung mit weiterführenden Sicherheitskatalogen Konkretisierung der §30 Maßnahmen für Cloud-Provider & Co. im EU Implementing Act Klärung, wann die (neuen) Nachweispflichten beginnen – wirklich erst 2027? Ändern sich die bisherigen Anlagen und Schwellenwerte für KRITIS noch in NIS2? Was ist mit Versicherungen (und dem Finanzsektor) in NIS2? Die Änderungen sollen in einem weiteren Referentenentwurf für die NIS2-Umsetzung an verarbeitet werden; zusätzlich stehen auch noch weitere KRITIS-Verordnung(en) aus.