Facebook-f Twitter Linkedin Soundcloud

Notwendige Anpassungen im Gesetzesentwurf zur Umsetzung der NIS-2-Richtlinie

Bild von jkehrle

jkehrle

Der Liberale Mittelstand Bayern fordert gezielte Nachbesserungen an der Umsetzung der NIS-2-Richtlinie: klare Schwellenwerte, realistische Fristen, weniger Bürokratie. IT-Sicherheit ja – aber mittelstandsfreundlich, praxisnah und verhältnismäßig.

Der Liberale Mittelstand Bayern fordert mehrere Änderungen und Ergänzungen im Gesetz zur Umsetzung der NIS-2-Richtlinie, insbesondere in Bezug auf die Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung.

Die Forderungen umfassen:

1. Definition von „besonders wichtigen“ und „wichtigen“ Unternehmen:

  • Unternehmen sollen erst als „besonders wichtig“ oder „wichtig“ gelten, wenn sie mindestens 250 Mitarbeiter haben und deren Produkte oder Dienstleistungen nicht im öffentlichen Interesse stehen (z.B. Netzbetreiber, Telekommunikation, Energieversorgung) oder staatliche Funktionen erfüllen.

2. Vereinfachte Pflichten und Zertifizierungsverfahren:

  • Für Unternehmen mit 250 bis 1000 Mitarbeitern sollen vereinfachte Betreiberpflichten und Zertifizierungsverfahren gelten.

3. 10-Jahres-Plan zur Einführung der Pflichten:

  • Ein nationaler 10-Jahres-Plan soll verabschiedet werden, der die Einführung der Pflichten für Unternehmen in Abhängigkeit von deren Größe, Gefahrenpotential und Wichtigkeit für den öffentlichen Nutzen terminiert.

4. Konkretisierung der Einführungstermine:

  • Besonders wichtige Unternehmen und wichtige Unternehmen mit mehr als 1000 Mitarbeitern und sehr hohem Gefahrenpotential bei Cyberangriff für Gesundheit und Umwelt sollen eine Frist von 3 Jahren haben.
  • Nach 5 Jahren sollen Unternehmen mit 1000 Mitarbeitern, die dieselben Stofflisten erfüllen, sowie alle sehr wichtigen Unternehmen hinzugezogen werden.
  • Nach 7 Jahren sollen wichtige Unternehmen mit 500 Mitarbeitern hinzugezogen werden.
  • Unternehmen mit 250 bis 500 Mitarbeitern sollen erst nach 10 Jahren verpflichtet werden.

5. Zuständigkeit und Information durch das Wirtschaftsministerium:

  • Das Wirtschaftsministerium des Bundes soll die gesetzliche Verpflichtung von Unternehmen feststellen und die Geschäftsführungen schriftlich informieren sowie über die praktische Umsetzung (Pflichten und Vorgaben) unterrichten.

6. Ablehnung der zentralen Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik:

  • Eine verpflichtende Zertifizierung ab 250 Mitarbeitern soll durch eine geeignete privat organisierte Zertifizierungsstelle (z.B. TÜV) erfolgen. Eine entsprechende Normung für die Unternehmen und Zertifizierungsstelle soll umgesetzt werden.
  • Gegen die Funktion des Bundesamtes für IT-Sicherheit als Melde- und Informationsstelle wird nicht widersprochen, jedoch sollen die Meldefristen auf mindestens vier Tage angehoben werden (z.B. aufgrund von Wochenenden und Feiertagen).
  • Die Meldung soll einfach und digital erfolgen.

7. Minimierung des bürokratischen Aufwands:

  • Das Gesetzgebungsverfahren soll in Einklang mit liberalen Digitalisierungsstrategien stattfinden und die Pflichten für Unternehmen sollen nur einen minimalen bürokratischen Aufwand bedeuten um die Transferkosten gering zu halten.

Begründung:

Definition von „besonders wichtigen“ und „wichtigen“ Unternehmen:

  • Kleine Unternehmen (weniger als 250 Mitarbeiter) haben begrenzte Ressourcen.
  • Fokussierung auf größere Unternehmen mit höherem Risiko.

Vereinfachte Pflichten und Zertifizierungsverfahren für mittlere Unternehmen:

  • Unternehmen mit 250 bis 1000 Mitarbeitern benötigen angepasste Anforderungen.

Vermeidung übermäßiger Belastung durch maßgeschneiderte Vorgaben. 

10-Jahres-Plan zur schrittweisen Einführung der Pflichten:

  • Schafft Planungssicherheit und vermeidet Überlastung.
  • Ermöglicht eine gestaffelte und reibungslose Implementierung.
  • Ermöglicht Strukturierung der Bundesbehörde

Konkretisierte Fristen für die Einführung der Pflichten:

  • Priorisierung besonders gefährdeter Bereiche.
  • Angemessene Anpassungszeiträume für Unternehmen nach Größe und Gefahrenpotential.

Zuständigkeit und Information durch das Wirtschaftsministerium:

  • Zentralisierte Feststellung der Verpflichtungen durch das Wirtschaftsministerium.
  • Einheitliche Information und Unterstützung der Unternehmen.

Ablehnung der zentralen Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik:

  • Effizientere und flexiblere Zertifizierung durch privat organisierte Stellen (z.B. TÜV).
  • Ressourcensparendes Vorgehen, da mehrere Audits kombiniert werden können.
  • Realistische Meldefristen (mindestens vier Tage) zur Berücksichtigung betrieblicher Realitäten.

Minimierung des bürokratischen Aufwands:

  • Förderung der Akzeptanz und Compliance durch geringeren bürokratischen Aufwand.
  • Umsetzung im Einklang mit liberalen Digitalisierungsstrategien zur Erhaltung der Wettbewerbsfähigkeit.

Weitere Beiträge

Ein Jahr Kanzlerschaft Friedrich Merz: Der Mittelstand wartet auf die Wirtschaftswende und zahlt den Preis sozialdemokratischer Regierungspolitik

4. Mai 2026 15:16

Ein Jahr nach Amtsantritt von Friedrich Merz fällt die wirtschaftspolitische Bilanz aus Sicht des liberalen Mittelstands ernüchternd aus: Statt der versprochenen Wirtschaftswende prägen steigende Abgaben, wachsende Staatsausgaben und mehr Regulierung den Alltag vieler Unternehmen. Während Insolvenzen zunehmen und das Vertrauen sinkt, sehen Unternehmer dringenden Handlungsbedarf.

Weiterlesen »

FDP Parteitag: Liberaler Mittelstand setzt klare Impulse und wünscht dem neuen Landesvorsitzenden viel Erfolg.

21. April 2026 15:00

Der Liberale Mittelstand Bayern hat beim FDP-Landesparteitag klare Signale gesetzt und die wachsende Belastung vieler Unternehmen deutlich benannt. Im Mittelpunkt standen die zunehmende Bürokratie und regulatorische Anforderungen, die den Handlungsspielraum des Mittelstands einschränken. Gleichzeitig brachte sich der Verband mit konkreten Anträgen aktiv in die Parteiarbeit ein und unterstrich damit seinen Anspruch, wirtschaftspolitische Rahmenbedingungen praxisnah mitzugestalten.

Weiterlesen »

Industriestrompreis geht am Mittelstand vorbei

21. April 2026 8:59

Die Genehmigung der deutschen Strompreis-Entlastung für energieintensive Unternehmen durch die Europäische Kommission zeigt aus Sicht der Bundesvereinigung Liberaler Mittelstand e.V. vor allem eines: Der politisch so bezeichnete Industriestrompreis erreicht den industriellen Mittelstand in der Breite nicht.

Weiterlesen »