Deutschland droht ein weiteres Verfahren wegen der Nichtumsetzung eines EU-Gesetzes mit spürbaren Konsequenzen. Der nächste Schritt im Vertragsverletzungsverfahren wurde von der EU-Kommission laut Mitteilung vom 07.05.2025 aufgrund der bislang ausbleibenden Umsetzung der NIS2-Richtlinie eingeleitet. Damit rückt eine Verurteilung durch den Europäischen Gerichtshof (EuGH) mit potenziellen Strafzahlungen näher. Für Unternehmen mit kritischer Infrastruktur bedeutet dies weitere Unsicherheit hinsichtlich der Durchführungsvorschriften für die NIS2-Richtlinie.
Was die NIS2-Richtlinie regelt
Bereits 2016 wurde die erste NIS-Richtlinie (Network and Information Security Richtlinie) eingeführt, um ein Mindestmaß an Cybersicherheit innerhalb der EU zu gewährleisten. Die NIS-2-Richtlinie, die im Januar 2023 in Kraft trat, verschärft nun die Anforderungen an Unternehmen und verbessert die Durchsetzung von Cybersicherheitsstandards. Die Richtlinie wendet sich an „wesentliche Sektoren der Wirtschaft“, etwa an öffentliche elektronische Kommunikationsdienste, Abwasserunternehmen oder den Gesundheitssektor. In diesem Zusammenhang hatte auch die EU-Kommission bereits im Oktober eine Durchführungsverordnung erlassen.
Umsetzungsfrist für Mitgliedstaaten
Die Umsetzungsfrist für die NIS-2-Richtlinie für die Mitgliedsstaaten endete am 17.10.2024. Seit diesem Zeitpunkt müssen alle EU-Mitglieder die Richtlinie in nationales Recht umsetzen. Das bedeutet insbesondere, dass sie ein Gesetz über Aufsichts- und Durchsetzungsmaßnahmen erlassen müssen. Einige Länder, darunter Italien, Belgien und Litauen haben die Frist eingehalten und die entsprechenden Maßnahmen fristgerecht umgesetzt.
Vertragsverletzungsverfahren gegen 23 Mitgliedstaaten
Ein Großteil der Mitgliedstaaten, darunter auch Deutschland, hat diese Verpflichtung jedoch nicht erfüllt. Angesichts dieser Verzögerungen hatte die EU-Kommission Ende letzten Jahres den ersten Schritt des Vertragsverletzungsverfahrens mit Aufforderungsschreiben an 23 Länder eingeleitet. Die betroffenen Staaten sollten innerhalb von zwei Monaten die Vorgaben umsetzen und die Kommission über ihre Maßnahmen in Kenntnis setzen. Andernfalls drohte die Kommission an, „eine mit Gründen versehene Stellungnahme“ auszusprechen und dann Klagen vor dem EuGH einreichen.
Gesetzgebungsverfahren in Deutschland
Das deutsche NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) der ehemaligen Regierung hatte bereits am 24.07.2024 das Kabinett passiert. Zu einer Annahme in Bundestag oder Bundesrat kam es jedoch nicht. Zwar betonte die Bundesdatenschutzbeauftragte, Louis Specht-Riemenschneider, noch die Relevanz der Einhaltung der EU-Umsetzungsfristen, eine Verabschiedung weiterer Gesetze sah sie jedoch nach dem Ampel-Aus als unsicher. Ein im Anschluss trotz Scheitern der Ampelkoalition erarbeiteter Entwurf von SPD und Grünen zur Anpassung des BSI-Gesetzes sowie zur Einführung eines gesetzlichen Schwachstellenmanagements scheiterte Ende Januar 2025 an inhaltlichen Differenzen mit der FDP.
Zwar hat die nun neu gewählte Regierung sich in ihrem Koalitionsvertrag zur Umsetzung bekannt, bislang gab es aber keine Anzeichen für einen baldigen Gesetzeserlass oder gar einen Gesetzesentwurf.
Zweiter Schritt des Vertragsverletzungsverfahren
Infolgedessen wurde nun laut Mitteilung der EU-Kommission der nächste Schritt im Vertragsverletzungsverfahren bezüglich der Umsetzung der NIS2-Richtlinie eingeleitet. 19 Staaten sollen weiterhin mit der Umsetzung hinterherhinken, darunter auch Deutschland, Frankreich, Spanien, Niederlande und Österreich. In diesem Zusammenhang hat die EU-Kommission eine „mit Gründen versehenen Stellungnahme“ mit zusätzlichen Fragen übermittelt. Sollten die adressierten Staaten innerhalb von zwei Monaten hierauf nicht reagieren und keine gesetzgeberischen Maßnahmen zur Umsetzung ergreifen, will die Kommission den EuGH anrufen. Dieser kann Bußgelder in empfindlicher Höhe verhängen.
Fazit
Auch wenn derzeit noch keine nationale Rechtsgrundlage zur Durchsetzung vorliegt, sollten Unternehmen in relevanten Sektoren bereits jetzt mit der Umsetzung der NIS2-Vorgaben beginnen. Denn mit Inkrafttreten eines Umsetzungsgesetzes wird kaum mehr Übergangszeit bleiben. Zudem orientieren sich nationale Behörden wie das BSI bei ihrer Beratungspraxis und Aufsicht zunehmend bereits an den inhaltlichen Vorgaben der Richtlinie. Besonders für Betreiber kritischer Infrastrukturen und wichtiger Einrichtungen im Sinne der NIS2 ist Eile geboten. Sie müssen ihre Risikomanagementsysteme überarbeiten, Meldeketten aufbauen, die Leitungsebene einbinden und technische sowie organisatorische Schutzmaßnahmen auf ein belastbares Niveau heben. Wir als Externe Datenschutzbeauftragte helfen Ihnen hierbei weiter.
