Umsetzung der NIS-2-Richtlinie gescheitert: Was das für Unternehmen bedeutet

Veröffentlicht: 31.01.2025
imgAktualisierung: 31.01.2025
Geschrieben von: Julia Petronis
Lesezeit: ca. 2 Min.
31.01.2025
img 31.01.2025
ca. 2 Min.
Schloss und Daten vor einem PC
welcomia / Depositphotos.com
Unternehmen werden über die Anforderungen der NIS-2-Richtlinie im Unklaren gelassen. Droht Deutschland ein Vertragsverletzungsverfahren?


Die Umsetzung der NIS-2-Richtlinie und des Kritis-Dachgesetzes in Deutschland ist gescheitert. Die entsprechenden Gesetze zur Umsetzung der EU-Richtlinien CER und NIS-2 zur Stärkung der Cybersicherheit werden vor der Bundestagswahl nicht mehr verabschiedet, was für Unternehmen weiterhin Unsicherheit bedeutet.

Auch nachträgliche Verhandlungen zwischen SPD, Grünen und FDP nach dem Bruch der Ampel-Koalition haben nicht zum gewünschten Ergebnis geführt. Dadurch bleibt mehr als zwei Jahre nach der Verabschiedung der EU-Richtlinie eine regulatorische Lücke bestehen, und die Umsetzungsfrist der EU wird noch weiter überschritten.

Uneinigkeit und gegenseitige Vorwürfe

Nach dem Ende der Ampel-Regierung gab es kurzzeitig Hoffnung, dass dieses wichtige Gesetz noch verabschiedet wird, da es als essenziell für die Sicherung digitaler Aspekte kritischer Infrastrukturen gilt. Letztlich scheiterten die Verhandlungen vor allem an der FDP, die auf die ursprünglich im Koalitionsvertrag vorgesehene Einführung eines Schwachstellenmanagements bestand und lediglich zeitliche Kompromisse vorschlug, erläutert heise-online die Verhandlungen. Die SPD war nicht bereit, diese Forderung mitzugehen. Die Grünen begründeten das Scheitern in beiden Koalitionspartnern und warfen Bundesinnenministerin Nancy Faeser (SPD) eine Verzögerung der Gesetzesvorlage vor. 

Droht Deutschland ein Vertragsverletzungsverfahren?

Was aber wird nun aus dem Gesetz? Fakt ist, dass sich die neue Bundesregierung mit der Umsetzung der NIS-2-Richtlinie beschäftigen muss, um die EU-Richtlinie schnellstmöglich in deutsches Recht zu gießen. Allerdings wird es zu weiteren Verzögerungen kommen, da die Gesetzesvorlagen neu eingebracht, beraten und verabschiedet werden müssen. Ursprünglich hätte eine Umsetzung bis Oktober 2024 erfolgen müssen. Die EU-Kommission erwägt bereits ein Vertragsverletzungsverfahren gegen Deutschland.

Und ohne ein NIS-2-Gesetz kann auch das sogenannte Kritis-Dachgesetz nicht umgesetzt werden. Beide Gesetze sollten zusammen ein umfassendes Regelwerk zur Absicherung kritischer Infrastrukturen schaffen, indem sie digitale und physische Schutzmaßnahmen miteinander verknüpfen. 

Unternehmen sollten dennoch gewappnet sein

Auch wenn noch nicht absehbar ist, wann die deutsche Umsetzung der EU-Richtlinie abgeschlossen sein wird, sollten Unternehmen dennoch vorbereitet sein. In Zeiten von steigender Bedrohung durch Cyberangriffe sollten sich Unternehmen vor Sicherheitslücken schützen – auch ohne nationale Gesetzesvorgaben. Umso wichtiger ist es daher, sich mit den verschiedenen Anforderungen auseinanderzusetzen, diese zu verstehen und sinnvolle Mindeststandards umzusetzen, um eine EU-weite Angleichung der Cyber-Resilienz zu gewährleisten.

Artikelbild: http://www.depositphotos.com

Veröffentlicht: 31.01.2025
img Letzte Aktualisierung: 31.01.2025
Lesezeit: ca. 2 Min.
Artikel weiterempfehlen
Julia Petronis

Julia Petronis

Expertin für IT- und Medien-Recht

KOMMENTARE
0 Kommentare
Kommentar schreiben