08.11.2024 Gesetzesentwurf der Bundesregierung 

• Erweiterung der Definition und Zuständigkeiten für kritische Anlagen
• Schnittstellenregelung mit KRITIS-Dachgesetz
• Einführung eines dreistufigen Meldeverfahrens
• Verpflichtung zu Risikoanalysen und Maßnahmen-Evaluierung
• Zusätzliche Berichtspflichten für Unternehmen und Behörden
• Detaillierte Regelung der Behördenzuständigkeiten
• Stärkere Maßnahmen gegen Cyber- und Supply-Chain-Angriffe
• Höhere Strafen bei Verstößen
• Neue Standards für IT-Produkte und Zertifizierungen
• Gestärkte Aufgaben des BSI

04.11.2024 Anhörung im Innenausschuss

• Kritikpunkte und Verbesserungsvorschläge, die von verschiedenen Experten und Organisationen vorgetragen wurde
• Unklare Rolle des BSI: Fehlende Stärkung als zentrale Cybersicherheitsbehörde, Gefahr von Doppelstrukturen (z. B. CISO Bund)
• Fragmentierung: Uneinheitliche IT-Sicherheitsregulierung und Strategie in Deutschland, mangelnde Harmonisierung innerhalb der EU
• Unternehmensunterstützung: Unzureichende Information und Hilfestellung, hoher Eigenaufwand für betroffene Unternehmen
• Datenschutzprobleme: Potenziell unionsrechtswidrige Regelungen und Datenschutzschwächen

02.10.2024 Gesetzesentwurf der Bundesregierung

• Die NIS-2-Richtlinie erweitert den Anwendungsbereich des Gesetzes auf zusätzliche Unternehmen und Infrastrukturen, die für die Gesellschaft als besonders wichtig gelten, einschließlich digitaler Dienste und Unternehmen von öffentlichem Interesse​
• Die bisherige einstufige Meldepflicht wird durch ein dreistufiges System ersetzt, das die Unternehmen verpflichtet, Sicherheitsvorfälle nach ihrem Schweregrad zu melden. Dies soll die Verwaltungsbelastung reduzieren und ein effizienteres Management von Vorfällen ermöglichen​
• Das Gesetz schafft die Position eines Chief Information Security Officer (CISO) für die Bundesverwaltung, um eine zentrale Koordinationsstelle für Cybersicherheit zu etablieren und eine einheitliche Umsetzung sicherzustellen​

24.07.2024 Kabinett beschließt Gesetz zur Umsetzung der NIS-2 Richtlinie 

• Etwa 30.000 Unternehmen in Deutschland sind von der NIS-2-Richtlinie betroffen
• Die Umsetzung der NIS-2-Richtlinie beginnt am 1. Januar 2026, mit einer vollständigen Umsetzung bis Ende 2029
• Die einmaligen Kosten betragen 38,2 Millionen Euro, mit jährlichen laufenden Kosten von rund 772,32 Millionen Euro bis 2029
• Der geschätzte Nutzen beläuft sich auf rund 3,6 Milliarden Euro pro Jahr durch die Vermeidung von Cyberangriffen

10.06.2024 Verzögerung bei der Umsetzung der NIS-2-Richtlinie

• Die Umsetzung der EU-NIS-2-Richtlinie in Deutschland verzögert sich voraussichtlich auf Frühjahr 2025.
• Ein neuer Entwurf des NIS-2-Umsetzungsgesetzes (4. Referentenentwurf) soll bis Juli 2024 unter Berücksichtigung von Rückmeldungen der Verbände und Länder erstellt werden.
• Kleine und mittlere Unternehmen müssen sofort mit der Umsetzung beginnen, da keine speziellen Fristen eingeräumt werden.
• Einführung einheitlicher, digitalisierter Meldeprozesse, aber ohne Erleichterungen für KMU; die 24-Stunden-Meldepflicht bleibt bestehen.
• Die Haftung der Geschäftsführung bleibt bestehen, und der Anwendungsbereich wird breit ausgelegt, einschließlich Managed Service Providers und Rechenzentrumsdienstleistern.

07.05.2024 Referentenentwurf veröffentlicht

Neuer Referentenentwurf beinhaltet:

• Einführung spezifischer Systeme zur Angriffserkennung und regelmäßige Erneuerung von Sicherheitszertifikaten
• Implementierung eines dreistufigen Meldesystems mit festgelegten Fristen für die Berichterstattung nach Sicherheitsvorfällen
• Präzisierung von Schlüsselbegriffen wie u.a. “kritische Anlage” zur einheitlichen Anwendung
• Schaffung eines Online-Portals für den sicheren Austausch von Cyberbedrohungen und Sicherheitslücken
• Etablierung strenger Sanktionen und des BSI als zentrale Koordinierungsstelle für nationale Zusammenarbeit

25.01.2024 Ressortabstimmung

• Der Gesetzentwurf befindet sich noch in der Ressortabstimmung
• Termin für Kabinettsbeschluss steht noch nicht fest

24.10.2023 Werkstattgespräch des BMI zum Diskussionspapier

• Teilweise Übernahme der Punkte von Stellungnahmen der Verbändeanhörung nach Diskussionspapier
• Harmonisierung mit dem KRITIS-Dachgesetz
• Klarstellungen zu verwendeten Begriffen/Definitionen (Cyberhygiene, bes. wichtige Einrichtungen)
• Registrierungs-, Nachweis-, und Meldepflichten
• Billigung-, Überwachungs- und Schulungspflicht für Geschäftsleiter

29.09.2023 Diskussionspapier des BMI zur Umsetzung der NIS2-Richtlinie (Dritter Referentenentwurf)

• Prüfungen statt alle zwei Jahre und für alle (KRITIS und besonders wichtige Unternehmen) nur noch alle drei Jahre und nur für Betreiber kritischer Anlagen
• Betroffene Unternehmen wurden im zweiten Entwurf präzisiert und die Definitionen vereinfacht
• Pflichten präzisiert: Betreiber sollen das Ausmaß der Risiken, Größe der Einrichtung, Umsetzungskosten, Eintritts­wahrscheinlichkeit und Schwere von Sicherheits­vorfällen berücksichtigen
• Geschäftsleiter dürfen Dritte einsetzen,  um die Umsetzung der Risiko­management­maßnahmen zu überwachen

03.07.2023 Zweiter Referentenentwurf

03.04.2023 Erster Referentenentwurf

• Einführung neuer Einrichtungskategorien durch die NIS-2-Richtlinie
• Erweiterung des Anwendungsbereichs über bisherige Kritische Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im öffentlichen Interesse hinaus
• Übernahme des Katalogs der Mindestsicherheitsanforderungen aus der NIS-2-Richtlinie in das BSIG
• Differenzierung der Maßnahmenintensität zwischen den Einrichtungskategorien aus Gründen der Verhältnismäßigkeit
• Wechsel von einer einstufigen Meldepflicht zu einem dreistufigen Melderegime gemäß der NIS-2-Richtlinie
• Erweiterung der Befugnisse des BSI im Hinblick auf die NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen
• Einführung eines CISO Bund als zentralen Koordinator für Informationssicherheit in der Bundesverwaltung