NIS2-Vertragsverletzung EU-Kommission leitet Verfahren gegen Deutschland ein

Gegen Deutschland sowie 23 weitere EU-Mitgliedsstaaten läuft ein Vertragsverletzungsverfahren der EU-Kommission. Sie haben die NIS2- wie auch die CER-Richtlinien nicht vollständig umgesetzt.

Bis zum 17. Oktober 2024 hatten die EU-Mitgliedsstaaten Zeit, die NIS2-Richtlinie in nationales Recht umzusetzen. Mit der neuen Richtlinie soll ein hohes Cybersicherheitsniveau in der gesamten EU sichergestellt werden. Da weder Deutschland noch 22 weitere Staaten sich an diesen Stichtag gehalten haben, übermittelt die EU-Kommission nun Aufforderungs­schreiben. Die 23 Mitgliedsstaaten – von insgesamt 27 – müssen binnen zwei Monaten darauf antworten, die Umsetzung von NIS2 abschließen und der Kommission entpsrechende Maßnahmen mitteilen. Dies ist die erste Stufe eines Vertrags­verletzungs­verfahren.

Die betroffenen EU-Staaten sind:

• Deutschland

• Bulgarien

• Tschechien

• Dänemark

• Estland

• Irland

• Griechenland

• Spanien

• Frankreich

• Zypern

• Lettland

• Luxemburg

• Ungarn

• Malta

• Niederlande

• Österreich

• Polen

• Portugal

• Rumänien

• Slowenien

• Slowakei

• Finnland

• Schweden

Somit haben lediglich die vier EU-Staaten Belgien, Kroatien, Italien und Litauen die NIS2-Richtlinie rechtzeitig umgesetzt.

In zehn Schritten zur NIS-2-Konformität, Teil 1

NIS 2 – Anschnallpflicht für Unternehmen

Reagieren die Staaten nicht ausreichend auf das Aufforderungsschreiben, kann die EU-Kommission „mit Gründen versehene Stellungnahmen“ an diese Länder richten. Mit dieser zweiten Stufe des Vertragsverletzungsverfahrens fordert die Kommission die Betroffenen formell auf, innerhalb einer bestimmten Frist die festgestellten Verstöße gegen das EU-Recht zu beheben. In der Stellungnahme legt die EU-Kommission detailliert dar, welche Verpflichtungen nicht eingehalten wurden und warum somit ein Verstoß vorliegt.

Sollte einer der betroffenen Mitgliedstaaten der Aufforderung erneut nicht nachkommen, kann die Kommission beim Europäischen Gerichtshof (EuGH) Klage einreichen. Daraufhin würde der EuGH die Vorwürfe prüfen und entscheiden, ob die betroffenen Mitgliedstaaten gegen das geltende EU-Recht verstoßen haben. Innerhalb einer vorgegebenen Frist müssten die Staaten dann das Recht umsetzen, ansonsten können hohe finanzielle Sanktionen drohen, neben einer vermutlich ohnehin unumgänglichen Pauschalzahlung für den Verstoß gegen das EU-Recht.

Zweites Verfahren wegen CER-Richtlinie

Neben dem Vertragsverletzungsverfahren wegen Nicht-Einhalten der NIS2-Vorgaben, leitet die Europäische Kommission ein zweites Verfahren gegen 24 EU-Mitgliedsstaaten ein. Deutschland sowie 23 weiteren Staaten wird vorgeworfen, der Kommission nicht rechtzeitig die nationalen Maßnahmen zur Umsetzung der CER-Richtlinie mitgeteilt zu haben. Auch hier endete die Frist am 17. Oktober 2024 und die EU-Kommission übermittelt Aufforderungsschreiben an diese Staaten:

• Deutschland

• Belgien

• Bulgarien

• Tschechien

• Dänemark

• Griechenland

• Spanien

• Frankreich

• Kroatien

• Zypern

• Lettland

• Litauen

• Luxemburg

• Ungarn

• Malta

• Niederlande

• Österreich

• Polen

• Portugal

• Rumänien

• Slowenien

• Slowakei

• Finnland

• Schweden

Nur Estland, Irland und Italien haben die CER-Richtlinie nach Vorgaben der EU-Kommission umgesetzt. Auch die CER-Richtlinie dient dem Schutz kritischer Infrastrukturen. Sie löst die Richtlinie 2008/114/EG ab und weitet den Anwendungsbereich von zwei auf elf Sektoren aus, die verpflichtet sind, ihre Cyberresilienz zu verbessern.

Navigieren durchs Regeldickicht

8 Regulierungen zur Cybersicherheit die Sie kennen müssen!

Dirk Arendt, Director Government & Public Sector DACH bei Trend Micro kommentiert die Geschehnisse: „Angesichts der Verzögerungen im Gesetzgebungsprozess in den vergangenen Jahren kommt das nicht wirklich überraschend – ist doch inzwischen mit einer NIS2-Umsetzung nicht vor Herbst nächsten Jahres zu rechnen. Unabhängig von den nun einsetzenden – und ebenfalls erwartbaren – parteipolitischen Fingerzeigen halte ich die aktuelle Lage für äußerst bedenklich, sendet sie noch verheerende Signale nach innen wie nach außen: Die deutsche Wirtschaft befindet sich in einer tiefen Krise. Um diese erfolgreich zu überwinden, bedarf es einer umfassenden Transformation und zukunftsfähiger Aufstellung. Digitale Technologien sind dafür der Schlüssel zum Erfolg. Gleichzeitig stehen gerade diese Technologien immer stärker im Fokus von Cyberangriffen, die eine wachsende Bedrohung für die gesamte deutsche Wirtschaft darstellen. So ist es zu begrüßen, dass die EU gerade diesen Bereich verstärkt reguliert, um das Schutzniveau in der gesamten Union zu erhöhen. In diesen Zeiten muss Europa wieder enger zusammenstehen – auch im Cyberraum. Vermutlich ist es für die Verabschiedung der genannten Gesetze in dieser Legislaturperiode schon zu spät. Bleibt nur der Appell an die zukünftige Bundesregierung, dem Thema endlich den Stellenwert einzuräumen, den es verdient. Mit genügend Ressourcen, einer starken und effizienten Sicherheitsarchitektur und unter Berücksichtigung der vielen berechtigten Einwände und Vorschläge von Experten aus Wirtschaft und Verbänden. Es ist an der Zeit, den Weg zur 'Cybernation' in einem starken Europa konsequent zu gehen.“

(ID:50254432)