
(Neues) Schaubild zum
NIS2UmsuCG-E
Auf der IT-Defense 2024 habe ich -wie bereits hier angekündigt- einen Roundtable zum Thema "Neue Anforderungen durch NIS-2 und Co. – aber was bedeutet das eigentlich für unser/mein Unternehmen?" gehalten.
Da es dabei recht viele Nachfragen gab, welche Vorgaben der NIS-2-Richtlinie und des (deutschen) Umsetzungsgesetzes für welche Kategorien von Einrichtungen gelten, habe ich für eine erste Übersicht zu dieser Frage ein einfach gehaltenes Schaubild erstellt.
Dieses ist als Illustration bei diesem Blogeintrag vorhanden und darf für nicht-kommerzielle Zwecke gerne verwendet werden. Und bei etwaigen Rückfragen gilt wie immer: Bitte einfach fragen *Zwinkersmiley*
Update vom 8. Mai 2024: Ich habe das Schaubild an den offiziellen Referentenentwurf zum NIS2UmsuCG vom 7. Mai 2024 angepasst.
Update vom 27. Juni 2024: Ich habe das Schaubild an den offiziellen Referentenentwurf zum NIS2UmsuCG vom 24. Juni 2024 angepasst.
Update vom 24. Juli 2024: Ich habe das Schaubild an den offiziellen Gesetzentwurf zum NIS2UmsuCG vom 22. Juli 2024 angepasst.

Unser Buch zum Thema
Datenschutz und IT-Compliance
Es ist vollbracht - und auch wenn das Buch schon seit Oktober 2023 auf dem Markt ist, freue ich mich immer noch wie Bulle, dass dieser lange Weg doch noch ein gutes Ende gefunden hat! Denn: Es war wie immer viel mehr Arbeit als gedacht, es hat wie immer viel mehr Zeit gekostet.
Herausgekommen ist ein Buch von Praktikern für Praktiker, das ich zusammen mit den beiden juristischen Kollegen Dennis Werner und Joerg Heidrich geschrieben habe. Ein Buch, was aus unserer Sicht ziemlich einzigartig ist: ein Fachbuch zum Thema Datenschutz und IT-Compliance für IT-Verantwortliche und Administratoren, interdisziplinär und vor allem praxisnah.
Wir hoffen, dass wir die avisierte Zielgruppe nicht enttäuschen, und freuen uns auf jeden Fall auf Feedback sowie auf hoffentlich viele positive Rezensionen *Zwinkersmiley*

Warum, weshalb, wieso?
Über diesen Blog
Da ist auch er nun endlich, der Blog zu allen Themen rund um Informationssicherheit, Datenschutz und Co. auf meiner neuen Webseite. Lange habe ich mit mir gerungen, ob so etwas Sinn macht und auch sinnvoll umzusetzen ist, also mit mehr als einem Beitrag pro Halbjahr *Zwinkersmiley* Ich bin tatsächlich guter Dinge, hier regelmäßig "Neuigkeiten" zu präsentieren. Aber eine Frage bleibt dennoch:
Braucht es überhaupt noch einen Blog zum Thema Informationssicherheit und Datenschutz?
Wahrscheinlich nicht wirklich. Und daher soll dieser Blog auch nicht stumpf anderweitig bekannte Informationen wiederholen, sondern diese einordnen und auch kritisch bewerten.
Gleichzeitig werde ich hier auch Termine zu Vorträgen und Schulungen bekannt geben, an denen ich beteiligt bin bzw. sein werde. Wenn Ihr mich also mal live erleben wollt oder mit mir in persona diskutieren möchtet, schaut doch einfach immer mal wieder hier rein, um die Möglichkeiten dazu auszuloten.
Ich will einen Beitrag kommentieren, aber das geht ja nicht?!?
Wer meine Beiträge hier kommentieren möchte, der kann das gerne tun. Aus "Gründen" habe ich allerdings auf die integrierte Kommentarfunktion verzichtet. Also einfach eine E-Mail schicken oder direkt das Kontaktformular dieser Webseite nutzen, das geht auch (fast) genauso schnell.

KRITIS-DachG im Bundestag
Endlich geht es weiter: Nachdem der neue Referentenentwurf zum KRITIS-DachG im November das Bundeskabinett passiert hat, stehen jetzt die Beratungen im Bundestag an. Dazu heißt es auf der entsprechenden Themenwebseite des Bundestags vom heutigen Tage:
Das Parlament berät am Donnerstag, 5. Dezember 2024, den Entwurf der Bundesregierung für das sogenannte „Kritis-Dachgesetzes“ (20/13961) zur Umsetzung der sogenannten CER-Richtlinie der EU und zur Stärkung der Resilienz kritischer Anlagen. Nach 40-minütiger Debatte ist die Überweisung der Vorlage an die Ausschüsse geplant. Bei den anstehenden Beratungen soll der Ausschuss für Inneres und Heimat die Federführung übernehmen.
Ihr könnt live dabei sein, denn die Beratungen werden wie üblich im Webstream des Bundestagsfernsehens übertragen. Und wir haben großes Glück, denn dieser Tagesordnungspunkt steht schon für 19:05 Uhr auf der Agenda und nicht -wie manche andere- erst mitten in der Nacht zum Nikolaustag *Zwinkersmiley*

Neuer KRITIS-DachG-E
Endlich geht es weiter: Am heutigen 5. November 2024 hat das Bundesministerium des Innern und für Heimat (BMI) eine aktualisierte Fassung des Referentenentwurfs eines "Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen" (kurz: KRITIS-Dachgesetz) veröffentlicht.
Das ist sehr erfreulich, denn aufgrund der engen Verzahnung mit dem NIS2UmsuCG-E wäre eine frühere Weiterentwicklung und eine Beschleunigung im Gesetzgebungsverfahren mehr als angebracht gewesen.
Aber immerhin schreibt das BMI (ungewohnt selbstkritisch) zum weiteren Zeitablauf:
Mit Blick auf die bereits abgelaufene Umsetzungsfrist für die CER-Richtlinie und die nur noch begrenzt zur Verfügung stehende Zeit für den Abschluss des Gesetzgebungsverfahrens in dieser Legislaturperiode ist eine Kabinettbefassung für den 6. November 2024 vorgesehen.
Leider ist das nicht die erste Ankündigung, dass das KRITIS-DachG im Kabinett beraten werden soll. Trotzdem ist es gut und auch wichtig, dass es jetzt (hoffentlich) endlich vorwärts geht, da es im Entwurf zum KRITIS-DachG in Abschnitt B. nach wie vor heißt:
Um die Kohärenz kritischer Anlagen im Sinne des BSIG und des KRITIS-Dachgesetzes zu gewährleisten, werden Betreiber kritischer Anlagen künftig nur noch durch das KRITIS-Dachgesetz und die dazugehörige Rechtsverordnung bestimmt.
Da wäre es doch gut, wenn die Betreiber kritischer Anlagen dann auch zeitnah nach In-Kraft-Treten des NIS2UmsuCG über eben diese Verordnung beurteilen könnten, ob und ggf. wie sie vom NIS2UmsuCG und dem KRITIS-DachG betroffen sind *Zwinkersmiley*

Adieu „TMG“ und „TTDSG“, welcome „DDG“ und „TDDDG“
Nachdem am 13. Mai 2024 die Veröffentlichung im Bundesgesetzblatt vollzogen wurde ist es nunmehr offiziell: Am 14. Mai 2024 ist das "Telemediengesetz (TMG)" außer Kraft getreten und durch das "Digitale-Dienste-Gesetz (DDG)" abgelöst worden. Im Rahmen zahlreicher (meist sprachlicher Anpassungen) wurde zudem auch das "Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)" in "Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)" umbenannt.
Was ändert sich dadurch? Im TDDDG auf den ersten Blick recht wenig, denn die Anpassungen des TTDSG bestehen im Wesentlichen im Austausch des Begriffs "Telemedien" durch den Begriff "Digitale Dienste". Allerdings wäre zu prüfen, ob durch diesen Begriffswechsel ggf. eine im Einzelfall relevante Ausweitung des Anwendungsbereichs resultiert.
Besteht also dringender Handlungsbedarf? Das kommt darauf an *Zwinkersmiley* Kurzfristig sollten zumindest alle Verweise auf das TMG und das TTDSG entsprechend angepasst werden. Im Rahmen der Änderung des TTDSG ist dies vor allem in den Cookie-Passagen der Datenschutzerklärungen auf Ihrer Webseite relevant. Zudem sollten Sie prüfen (lassen), ob durch die Einführung des DDG nunmehr ggf. (digitale) Dienste erfasst werden, die bisher nicht im Regelungsbereich des TMG lagen und daher ggf. auch aus diesem Grunde Anpassungen notwendig werden.
In Zweifelsfragen gilt leider wie so oft: Fragen Sie Ihren Rechtsanwalt abschließend um Rat *Zwinkersmiley*