NIS2: EU verwarnt Deutschland wegen Nichtumsetzung

EU-Mitgliedsstaaten hätten bis zum 17.10.2024 die NIS2-Richtlinie in nationales Gesetz verankern müssen. Deutschland hat die Frist verpasst und es drohen Strafzahlungen. Ein Grund mehr, sich als betroffenes Unternehmen mit der Umsetzung der Richtlinie zu beschäftigen.

Manch einer hat momentan vielleicht ein Déjà-vu: Eine wichtige EU-Richtlinie im Bereich Informationssicherheit muss bis zu einer bestimmten Frist von Deutschland in nationales Gesetz übertragen werden. Deutschland verpasst die Frist und muss hohe Strafen zahlen. Kommt Ihnen das auch bekannt vor? Zuletzt war dies bei der EU-Whistleblower-Richtlinie der Fall. Nun könnte dasselbe mit der NIS2-Richtlinie passieren.

Zeitnahe Umsetzung der NIS2-Richtlinie gefordert

Die EU-Mitgliedsstaaten hätten bis zum 17.10.2024 die NIS2-Richtlinie in nationale Gesetzgebung umsetzen müssen. Dies erfolgte bis dato in Deutschland noch nicht.

Der einstigen Ampel-Regierung fällt es nun auf die Füße, entscheidende Gesetzesvorhaben zum Schutz kritischer Infrastruktur (Kritis) nicht zeitig umgesetzt zu haben. Die Konsequenz: Die EU-Kommission fordert 23 Mitgliedsstaaten zur vollständigen Umsetzung der NIS2-Richtlinie auf, darunter auch Deutschland. Mit der Übermittlung von Aufforderungsschreiben läutet die EU-Kommission die erste Stufe des Vertragsverletzungsverfahrens ein. Dies könnte für Deutschland teuer werden. Die Situation zeigt jedoch auch, wie wichtig das Thema der EU ist, wenn so kurz nach dem Fristablauf bereits diese Maßnahmen eingeläutet werden.

Bisher gibt es in Deutschland für die nationale Umsetzung der NIS2-Richtlinie einen Gesetzesentwurf (Stand 02.10.2024). Am 05.11.2024 gab es eine zweite Anhörung im Bundestag. Eine dazugehörige Expertenkritik an der geplanten Umsetzung der NIS2-Richtlinie ist hier zu finden. Damit der Gesetzesentwurf jedoch in Kraft treten kann, muss dieser noch von Bundestag und Bundesrat gebilligt werden. Durch das Ampel-Aus hängen diese Gesetzesvorhaben wieder in der Luft. Wann sich die (neue) Regierung mit den Vorhaben auseinandersetzt ist ungewiss.

EU-weite Cybersicherheit durch NIS2

Mit der NIS2 soll ein verbessertes und harmonisiertes Cybersicherheitsniveau in der gesamten EU in bestimmten Sektoren wie KRITIS, Anbieter digitaler Dienste, Energie- und Wasserversorgung,  Informations- und Kommunikationstechnologien (IKT), Verkehr, Finanzwesen und Gesundheitswesen gewährleistet werden. Die vollständige Umsetzung der Richtlinie ist für die Erhöhung der Resilienz und gemeinsamen Krisenreaktion auf Sicherheitsvorfälle von entscheidender Bedeutung. Der Lagebericht des BSI zeigt, dass eine hohe Bedrohungslage besteht und auch kleinere und mittlere Unternehmen zunehmend im Visier krimineller Akteure stehen.

Die Aufforderungsschreiben an die 23 Mitgliedsstaaten müssen innerhalb von 2 Monaten beantwortet, die Umsetzung der Richtlinie abgeschlossen und der Kommission die entsprechenden Maßnahmen mitgeteilt werden. Ansonsten kann die EU-Kommission beschließen, Stellungnahmen an die entsprechenden Länder zu senden. Dies ist die zweite Stufe des Verletzungsverfahrens.

Weiteres Verletzungsverfahren: Resilienz kritischer Infrastruktur

Neben dem Verletzungsverfahren hinsichtlich der NIS2 hat die EU-Kommission weitere Verletzungsverfahren gegen Deutschland und 23 weitere EU-Mitgliedsstaaten gestartet, da ebenfalls keine nationalen Maßnahmen zur Umsetzung der Richtlinie über die Resilienz kritischer Einrichtungen unternommen wurden. Die Mitgliedsstaaten hätten die nationalen Regelungen bis Mitte Oktober aufstellen müssen. Ziel dieser Richtlinie ist die Stärkung der Verantwortung der Betreiber von Anlagen und Systemen in den deutlich erweiterten Kritis-Sektoren. Diese müssen beispielsweise Risikobewertungen durchführen, um die Widerstandsfähigkeit gegenüber Störungen und Gefahren zu erhöhen. Außerdem müssen betroffene Unternehmen Mindeststandards einhalten. Auch in diesem Fall haben die 24 betroffenen Mitgliedstaaten zwei Monate Zeit, um ihre Gesetzesentwürfe fertig zu stellen und die EU-Kommission davon in Kenntnis zu setzen. Bei Fristversäumnis droht auch hier die zweite Stufe des Vertragsverletzungsverfahrens.

NIS2-Umsetzung in Ihrem Unternehmen

Die nächsten Monate werden somit doppelt spannend. Wir erhoffen uns eine zeitnahe Umsetzung der Richtlinien. Die verbesserte Cyberresilienz und Krisenreaktion sind ein wichtiger Schritt für alle Mitgliedstaaten, um ein kritisches Sicherheitsniveau in der EU zu gewährleisten. Nichtsdestotrotz wissen wir auch um die Kritik an den Gesetzesentwürfen. Dennoch sollten betroffene Unternehmen nicht warten und sich schon heute mit den geforderten Maßnahmen auseinandersetzen und die Anforderungen als Chance sehen, um ihr Geschäft auf eine solide Basis zu bringen.

Sie sind nicht sicher, ob Sie von der NIS2-Richtlinie betroffen sind? Mit unserem NIS2 Quick-Check können sie schnell und einfach herausfinden, ob Sie sich mit der Richtlinie auseinandersetzen müssen. Für die Umsetzung der NIS2-Richtlinie ist ein Informationssicherheitsmanagemensystem (ISMS) ein hervorragendes Handwerk. Unsere Expertinnen und Experten stehen Ihnen dabei zur Seite. Gerne gehen wir mit Ihnen gemeinsam durch den Prozess der NIS2-Richtlinie und unterstützen Sie dabei, ein ISMS zu etablieren.