NIS2 setzt Zulieferer und Dienstleister unter Druck
Warum die Regulierung Lieferanten und Drittdienstleister früher trifft als die direkt Verpflichteten.
Allmählich ist das Ende in Sicht: Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wird – nach fast zwei Jahren mit fünf Referentenentwürfen und heftigen Auseinandersetzungen zwischen einzelnen Bundesministerien – im Frühjahr 2025 wohl endlich in Kraft treten. Dabei endet die von der EU vorgegebene Umsetzungsfrist bereits am 17. Oktober 2024.
Die schleppende Einbettung in den hiesigen Rechtsrahmen ist aber kein Anlass, sich entspannt zurückzulehnen. In der Praxis spielt es für die künftig regulierten Unternehmen keine Rolle, wie viel Verspätung das deutsche NIS2-Gesetz einfährt: Zwar können vor Inkrafttreten keine Bußgelder oder Zwangsmaßnahmen verhängt werden, aber es ist fraglich, ob Cyberversicherungen nach dem 17. Oktober noch für Vorfälle zahlen, wenn ein Unternehmen die NIS2-Vorgaben ignoriert. Bei grenzüberschreitend tätigen Unternehmen entsteht zusätzlich Rechtsunsicherheit: Wer haftet bei Vorfällen in einem Land, das NIS2 pünktlich umgesetzt hat, wenn das für die Schäden verantwortliche Unternehmen im unregulierten Deutschland beheimatet ist?