13. Juni 2024
16:49

Notwendige Anpassungen im Gesetzesentwurf zur Umsetzung der NIS-2-Richtlinie

jkehrle

Der Liberale Mittelstand Bayern fordert mehrere Änderungen und Ergänzungen im Gesetz zur Umsetzung der NIS-2-Richtlinie, insbesondere in Bezug auf die Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung.

Die Forderungen umfassen:

1. Definition von „besonders wichtigen“ und „wichtigen“ Unternehmen:

Unternehmen sollen erst als „besonders wichtig“ oder „wichtig“ gelten, wenn sie mindestens 250 Mitarbeiter haben und deren Produkte oder Dienstleistungen nicht im öffentlichen Interesse stehen (z.B. Netzbetreiber, Telekommunikation, Energieversorgung) oder staatliche Funktionen erfüllen.

2. Vereinfachte Pflichten und Zertifizierungsverfahren:

Für Unternehmen mit 250 bis 1000 Mitarbeitern sollen vereinfachte Betreiberpflichten und Zertifizierungsverfahren gelten.

3. 10-Jahres-Plan zur Einführung der Pflichten:

Ein nationaler 10-Jahres-Plan soll verabschiedet werden, der die Einführung der Pflichten für Unternehmen in Abhängigkeit von deren Größe, Gefahrenpotential und Wichtigkeit für den öffentlichen Nutzen terminiert.

4. Konkretisierung der Einführungstermine:

Besonders wichtige Unternehmen und wichtige Unternehmen mit mehr als 1000 Mitarbeitern und sehr hohem Gefahrenpotential bei Cyberangriff für Gesundheit und Umwelt sollen eine Frist von 3 Jahren haben.
Nach 5 Jahren sollen Unternehmen mit 1000 Mitarbeitern, die dieselben Stofflisten erfüllen, sowie alle sehr wichtigen Unternehmen hinzugezogen werden.
Nach 7 Jahren sollen wichtige Unternehmen mit 500 Mitarbeitern hinzugezogen werden.
Unternehmen mit 250 bis 500 Mitarbeitern sollen erst nach 10 Jahren verpflichtet werden.

5. Zuständigkeit und Information durch das Wirtschaftsministerium:

Das Wirtschaftsministerium des Bundes soll die gesetzliche Verpflichtung von Unternehmen feststellen und die Geschäftsführungen schriftlich informieren sowie über die praktische Umsetzung (Pflichten und Vorgaben) unterrichten.

6. Ablehnung der zentralen Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik:

Eine verpflichtende Zertifizierung ab 250 Mitarbeitern soll durch eine geeignete privat organisierte Zertifizierungsstelle (z.B. TÜV) erfolgen. Eine entsprechende Normung für die Unternehmen und Zertifizierungsstelle soll umgesetzt werden.
Gegen die Funktion des Bundesamtes für IT-Sicherheit als Melde- und Informationsstelle wird nicht widersprochen, jedoch sollen die Meldefristen auf mindestens vier Tage angehoben werden (z.B. aufgrund von Wochenenden und Feiertagen).
Die Meldung soll einfach und digital erfolgen.

7. Minimierung des bürokratischen Aufwands:

Das Gesetzgebungsverfahren soll in Einklang mit liberalen Digitalisierungsstrategien stattfinden und die Pflichten für Unternehmen sollen nur einen minimalen bürokratischen Aufwand bedeuten um die Transferkosten gering zu halten.

Begründung:

Definition von „besonders wichtigen“ und „wichtigen“ Unternehmen:

Kleine Unternehmen (weniger als 250 Mitarbeiter) haben begrenzte Ressourcen.
Fokussierung auf größere Unternehmen mit höherem Risiko.

Vereinfachte Pflichten und Zertifizierungsverfahren für mittlere Unternehmen:

Unternehmen mit 250 bis 1000 Mitarbeitern benötigen angepasste Anforderungen.

Vermeidung übermäßiger Belastung durch maßgeschneiderte Vorgaben.

10-Jahres-Plan zur schrittweisen Einführung der Pflichten:

Schafft Planungssicherheit und vermeidet Überlastung.
Ermöglicht eine gestaffelte und reibungslose Implementierung.
Ermöglicht Strukturierung der Bundesbehörde

Konkretisierte Fristen für die Einführung der Pflichten:

Priorisierung besonders gefährdeter Bereiche.
Angemessene Anpassungszeiträume für Unternehmen nach Größe und Gefahrenpotential.

Zuständigkeit und Information durch das Wirtschaftsministerium:

Zentralisierte Feststellung der Verpflichtungen durch das Wirtschaftsministerium.
Einheitliche Information und Unterstützung der Unternehmen.

Ablehnung der zentralen Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik:

Effizientere und flexiblere Zertifizierung durch privat organisierte Stellen (z.B. TÜV).
Ressourcensparendes Vorgehen, da mehrere Audits kombiniert werden können.
Realistische Meldefristen (mindestens vier Tage) zur Berücksichtigung betrieblicher Realitäten.

Minimierung des bürokratischen Aufwands:

Förderung der Akzeptanz und Compliance durch geringeren bürokratischen Aufwand.
Umsetzung im Einklang mit liberalen Digitalisierungsstrategien zur Erhaltung der Wettbewerbsfähigkeit.

Weitere Beiträge

Mogelpackung Aktivrente – Selbstständige werden ungleich behandelt

16. Oktober 2025 9:00

Die neue Aktivrente soll Arbeit im Alter steuerlich belohnen – aber nur für Angestellte. Selbstständige bleiben außen vor. Der Liberale Mittelstand e.V. – Bundesvereinigung fordert gleiche Rechte und Fairness für alle, die im Alter weiterarbeiten und Verantwortung tragen.

Herbst der Reformunfähigkeit

8. Oktober 2025 13:48

Deutschland steckt nicht nur in einer Wirtschaftskrise, sondern in einer Krise der Reformfähigkeit. Der Liberale Mittelstand fordert: Schluss mit Stillstand und Mut zu echten Reformen – für Freiheit, Leistung und Zukunft!

Förderstopp für erneuerbare Energien – fairer Wettbewerb statt Dauersubventionen

1. Oktober 2025 13:27

Schluss mit Dauersubventionen! Michael Siegeroth, Landesvorsitzender des Liberalen Mittelstands NRW, fordert: Der Staat muss alle Förderungen für erneuerbare Energien sofort beenden. Nur ein offener Markt garantiert faire Preise, Innovation und echte Entlastung für den Mittelstand.