NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter

Mit der NIS-2-Richtlinie soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union EU geschaffen werden

[datensicherheit.de, 06.07.2025] In ihrer Stellungnahme vom 4. Juli 2025 widmet sich Rechtsanwältin Dr. Kristina Schreiber, Mitglied im Ausschuss „Informationsrecht“ des Deutschen Anwaltvereins e.V. (DAV), der Umsetzung der NIS-2-Richtlinie – mit dieser soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union (EU) geschaffen werden. In einer Anhörung des Bundesministeriums des Innern (BMI) hat der DAV an diesem Tag mehrere Verbesserungsvorschläge zum deutschen Gesetzentwurf unterbreitet.

Bei NIS-2-Umsetzung auch sonstige IT-System-Anbieter, insbesondere solche von „Cloud“-Diensten, adressieren

Schreiber betont: „Wir begrüßen die gründliche Umsetzung der NIS-2-Richtlinie. Wenn die Hersteller von IT-Systemen in den Fokus genommen werden, dürfen aber auch die übrigen IT-System-Anbieter, insbesondere solche von ,Cloud’-Diensten, nicht vergessen werden!“

An diese Anbieter, aber auch Auslagerungsunternehmen, sollten ebenfalls hohe Standards angelegt werden. „Bisher werden die gesetzlichen Normen nicht zuverlässig per Vertrag von Auftraggebern an ihre Auslagerungsunternehmen weitergereicht“, kommentiert Schreiber.

Bewältigung des Schadensfalles sollte Priorität vor der NIS-2-Meldepflicht haben

Außerdem regt der DAV an, bei Sicherheitsvorfällen noch vor der Meldepflicht zunächst die Bewältigung des Vorfalls zu priorisieren. Zur Begründung: „Nach dem aktuellen Entwurf könnten während der Erfüllung der Meldepflicht personelle Ressourcen bei der Bewältigung fehlen.“

Der Entwurf in seiner aktuellen Form sei durch sich überschneidende Begriffsebenen und zahlreiche Querverweise aber nur schwer zu durchdringen. „Hier sollte der Gesetzgeber prüfen, ob redundante Regelungen gestrichen und der Text so vereinfacht werden kann – zum Beispiel durch engere Orientierung an der ursprünglichen Richtlinie“, gibt Schreiber abschließend zu bedenken.

Weitere Informationen zum Thema:

DeutscherAnwaltVerein
Ausschuss Informa­ti­onsrecht

Loschelder Rechtsanwälte
Berater / Dr. Kristina Schreiber

OpenKRITIS
Meldepflichten

datensicherheit.de, 06.07.2025
NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert / Die unabhängigen Datenschutzaufsichtsbehörden der Länder sprechen sich für deutliche Entlastung der Verantwortlichen bei Erfüllung der NIS-2-Meldepflichten aus

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie