Die Europäische Union hat ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet, weil die Umsetzung der NIS-2-Richtlinie (Network and Information Security Directive 2) in nationales Recht nicht fristgerecht erfolgt ist. Diese Richtlinie soll die Cybersicherheit und Resilienz kritischer Infrastrukturen stärken und eine einheitliche Grundlage für den Schutz vor Cyberangriffen in der EU schaffen. Die Situation hat erhebliche Auswirkungen auf die deutsche Gesetzgebung und den Schutz kritischer Einrichtungen.
Die NIS-2-Richtlinie wurde am 16. Januar 2023 in Kraft gesetzt und legt strengere Anforderungen an Unternehmen und öffentliche Einrichtungen fest, die kritische Dienstleistungen erbringen. Dazu gehören Sektoren wie Energie, Gesundheit, Verkehr, Wasserwirtschaft und digitale Infrastruktur. Ziel ist es, die Sicherheit und Widerstandsfähigkeit dieser Einrichtungen gegenüber Cyberangriffen zu erhöhen und eine europaweite Harmonisierung zu gewährleisten.
Deutschland hat die Richtlinie bislang nicht vollständig in nationales Recht umgesetzt, obwohl die Frist hierfür der 17. Oktober 2024 war. Die EU-Kommission wirft der Bundesregierung vor, durch die Verzögerung die Cybersicherheit nicht ausreichend zu gewährleisten. Andere Mitgliedstaaten, darunter Frankreich und die Niederlande, sind ebenfalls von Verfahren betroffen, was die Dringlichkeit der Thematik unterstreicht.
Die NIS-2-Richtlinie
- Erweiterung des Anwendungsbereichs: Neben Betreibern kritischer Infrastrukturen werden nun auch andere wichtige Einrichtungen wie mittelständische Unternehmen einbezogen.
- Verpflichtende Risikomanagement-Maßnahmen: Organisationen müssen Maßnahmen zur Identifizierung und Abwehr von Cyberrisiken ergreifen.
- Meldepflichten bei Sicherheitsvorfällen: Betroffene Organisationen müssen Vorfälle innerhalb von 24 Stunden melden.
- Sanktionen: Bei Nichteinhaltung der Vorschriften drohen hohe Geldstrafen.
Kritikpunkte und Herausforderungen
- Komplexität der Gesetzgebung: Die Richtlinie stellt hohe Anforderungen an Unternehmen, insbesondere im Bereich des Berichtswesens und der technischen Umsetzung.
- Ressourcenmangel: Mittelständische Unternehmen und kleinere Betreiber kritischer Infrastrukturen sehen sich oft nicht in der Lage, die technischen und personellen Anforderungen zu erfüllen.
- Datenschutzbedenken: Die verpflichtende Weitergabe von Informationen bei Sicherheitsvorfällen wirft Fragen hinsichtlich des Schutzes sensibler Daten auf.
