NIS2: Vertragsverletzungsverfahren gegen Deutschland
Mit der NIS2-Richtlinie hat die EU einen rechtlichen Rahmen geschaffen, der die Sicherheitsanforderungen für Betreiber kritischer Infrastrukturen und digitaler Dienste erheblich verschärft. Ziel ist es, die Resilienz gegen Cyberangriffe zu stärken. Doch trotz einer verbindlichen Umsetzungsfrist haben 23 der 27 Mitgliedstaaten ihre Verpflichtungen nicht erfüllt. Die Europäische Kommission hat daher am 28.11.2024 beschlossen Vertragsverletzungsverfahren gegen diese Länder einzuleiten.
Umfassender Rechtsrahmen für Cybersicherheit
Bereits 2016 wurde die erste NIS-Richtlinie (Network and Information Security Richtlinie) eingeführt, um ein Mindestmaß an Cybersicherheit innerhalb der EU zu gewährleisten. Die NIS-2-Richtlinie, die im Januar 2023 in Kraft trat, verschärft nun die Anforderungen an Unternehmen und verbessert die Durchsetzung von Cybersicherheitsstandards. Die Richtlinie wendet sich an „wesentliche Sektoren der Wirtschaft“, etwa an öffentliche elektronische Kommunikationsdienste, Abwasserunternehmen oder den Gesundheitssektor. In diesem Zusammenhang hatte auch die EU-Kommission bereits im Oktober eine Durchführungsverordnung erlassen.
Umsetzungsfrist für Mitgliedstaaten
Die Umsetzungsfrist für die NIS-2-Richtlinie für die Mitgliedsstaaten endete am 17.10.2024. Seit diesem Zeitpunkt müssen alle EU-Mitglieder die Richtlinie in nationales Recht umsetzen. Das bedeutet insbesondere, dass sie ein Gesetz über Aufsichts- und Durchsetzungsmaßnahmen erlassen müssen. Margrethe Vestager, Exekutiv-Vizepräsidentin des Ressorts „Ein Europa für das digitale Zeitalter“, hatte die Mitgliedstaaten bereits dringend dazu aufgefordert, die „Vorschriften so schnell wie möglich auf nationaler Ebene umzusetzen, um die Cybersicherheit der Dienste, die für unsere Gesellschaften und Volkswirtschaften unentbehrlich sind, sicherzustellen“.
Vertragsverletzungsverfahren gegen 23 Mitgliedstaaten
Italien, Belgien, Kroatien und Litauen haben die Frist eingehalten und die entsprechenden Maßnahmen umgesetzt. Die Mehrheit der Mitgliedstaaten, darunter Deutschland, Frankreich und Spanien, hat diese Verpflichtung jedoch nicht erfüllt. Angesichts dieser Verzögerungen hat die Europäische Kommission laut ihrer Pressemitteilung nun im ersten Schritt des Vertragsverletzungsverfahrens Aufforderungsschreiben an 23 Länder verschickt. Die betroffenen Staaten müssen nun innerhalb von zwei Monaten die Vorgaben umsetzen und die Kommission über ihre Maßnahmen in Kenntnis setzen. Sollte dies nicht geschehen, kann die Kommission „eine mit Gründen versehene Stellungnahme“ aussprechen und im nächsten Schritt Klagen vor dem Europäischen Gerichtshof einreichen.
Gesetzgebungsverfahren in Deutschland
Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) hat bereits am 24.07.2024 das Kabinett passiert. Eine Annahme in Bundestag oder Bundesrat gab es jedoch noch nicht. Zwar betonte die Bundesdatenschutzbeauftragte, Louis Specht-Riemenschneider, die Relevanz der Einhaltung der EU-Umsetzungsfristen, eine Verabschiedung weiterer Gesetze sei jedoch nun nach dem Ampel-Aus unsicher.
Fazit
Die Reaktion der Europäischen Kommission ist ein notwendiger Schritt, um Nachzügler in die Pflicht zu nehmen und die Integrität des digitalen Binnenmarktes zu sichern. Entscheidend wird sein, ob die betroffenen Mitgliedstaaten ihre Verpflichtungen nun schnell erfüllen und so das Vertrauen in die Cybersicherheitsstrategie der EU stärken. Letztlich wird die NIS2-Richtlinie nur dann ihre volle Wirkung entfalten können, wenn alle Beteiligten ihren Teil dazu beitragen. Unternehmen sollten sich bereits jetzt auf die Richtlinie und ihre Anforderungen vorbereiten. Hier unterstützen wir Sie im gesamten Prozess.