NIS2-Umsetzung erst nach der Bundestagswahl

14. Februar 2025

Die nationale Umsetzung der NIS2-Richtlinie in Deutschland steht vor einem weiteren Rückschlag. Nachdem zuletzt noch Hoffnungen bestanden, dass das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) kurzfristig verabschiedet werden könnte, ist nun klar: Das Gesetz wird in dieser Legislaturperiode laut eines Berichts vom 30.01.2025 nicht mehr beschlossen. Die NIS2-Umsetzung erfolgt insofern erst nach der Bundestagswahl – voraussichtlich frühestens im Herbst 2025. Für Unternehmen bedeutet dies mehr Unsicherheiten, insbesondere da parallel bereits verbindliche Regelungen auf EU-Ebene in Kraft getreten sind.

Umsetzungsfrist für Mitgliedstaaten

Mit der NIS2-Richtlinie hat die EU einen rechtlichen Rahmen geschaffen, der die Sicherheitsanforderungen für Betreiber kritischer Infrastrukturen und digitaler Dienste erheblich verschärft. Die Vorgaben sollten die EU-Mitgliedsstaaten bis zum 17.10.2024 in nationales Recht umsetzen. Die Mehrheit der Mitgliedstaaten, darunter auch Deutschland hat diese Verpflichtung jedoch nicht fristgerecht erfüllt. Angesichts dieser Verzögerungen hat die EU-Kommission Anfang Dezember letzten Jahres ein Vertragsverletzungsverfahrens gegen 23 Länder eingeleitet.

Gesetzgebungsverfahren in Deutschland gescheitert

Das NIS2UmsuCG hatte zwar bereits am 24.07.2024 das Kabinett passiert, und auch nach dem Ampel-Aus gab es noch von verschiedenen Seiten Hoffnung auf das von vielen als besonders wichtig angesehene Gesetz. Auch die Bundesdatenschutzbeauftragte betonte noch im November die Relevanz der Einhaltung der EU-Umsetzungsfristen. Eine Verabschiedung weiterer Gesetze sah sie jedoch damals schon als unsicher.

Letztlich soll nun eine Verabschiedung des Gesetzes tatsächlich ausbleiben, so ein Bericht des Tagesspiegel Background. Innerhalb der ehemaligen Koalition sollen sich die Parteien gegenseitig die Schuld für das nun fehlende Gesetz zu schieben. Eine Verabschiedung könnte erst nach Herbst 2025 erfolgen. Dabei ist die Verzögerung nicht nur ein politisches Problem, sondern hat weitreichende Konsequenzen für Unternehmen, die sich auf neue Cybersicherheitsanforderungen einstellen müssen. Denn mit der Verschiebung der nationalen Umsetzung bleibt unklar, welche zusätzlichen Pflichten in Deutschland letztlich gelten werden.

EU-Durchführungsverordnung bereits in Kraft

Unabhängig von der nationalen Verzögerung ist die Durchführungsverordnung (DVO (EU) 2024/2690) der EU bereits seit letztem Jahr in Kraft und hat insofern auch unmittelbar Auswirkungen für bestimmte Unternehmen. Sie gilt für spezifische Anbieter digitaler Dienste und Infrastrukturen unmittelbar, ohne dass eine nationale Umsetzung erforderlich ist. Betroffen sind beispielsweise DNS-Diensteanbieter, Anbieter von Cloud-Computing-Diensten oder Rechenzentrumsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke.

Diese Unternehmen müssen bereits jetzt die in der Durchführungsverordnung festgelegten Anforderungen erfüllen. Die Unsicherheit ergibt sich jedoch aus der Frage, inwieweit die nationale Gesetzgebung zusätzliche Anforderungen oder Abweichungen mit sich bringen wird.

Was Unternehmen jetzt tun sollten

Auch wenn die nationale Umsetzung auf sich warten lässt, sollten betroffene Unternehmen nicht untätig bleiben. Gerade Unternehmen, die unter die Durchführungsverordnung fallen, sollten umgehend evaluieren, ob sie die dort formulierten Sicherheitsanforderungen erfüllen. Hierbei lohnt sich ein Blick auf den detaillierten Anhang der Durchführungsverordnung, in dem die technischen und organisatorischen Maßnahmen spezifiziert werden. Zudem sollten Unternehmen, auch wenn die deutschen Regelungen noch ausstehen, sich schon jetzt auf die strengen Vorgaben der NIS2-Richtlinie vorbereiten und Strategien entwickeln, um auf eine spätere Gesetzgebung flexibel reagieren zu können.

Fazit

Die NIS2-Umsetzung wird erst nach der Bundestagswahl erfolgen, was Unsicherheiten für Unternehmen bedeutet. Das gilt umso mehr, da auf EU-Ebene bereits verbindliche Vorgaben existieren. Betroffene Organisationen sollten daher nicht auf die deutsche Gesetzgebung warten, sondern proaktiv handeln. Die frühzeitige Auseinandersetzung mit den bestehenden und kommenden Anforderungen kann helfen, Compliance-Risiken zu minimieren und Sicherheitslücken rechtzeitig zu schließen. Wir als Externe Datenschutzbeauftragte helfen Ihnen dabei weiter.

Kategorien: Cyberangriffe · Europäische Union · Europäisches Recht · Gesetzesvorhaben · NIS-2-Richtlinie · Online-Datenschutz