Thought Leadership
Die EU-Kommission erhöht den Druck auf die Mitgliedstaaten bei der Umsetzung der NIS2-Richtlinie zur Cybersicherheit. Wie die Kommission mitteilte, wurden Vertragsverletzungsverfahren gegen 23 EU-Länder eingeleitet – darunter auch Deutschland.
Der Grund: Die betroffenen Staaten haben die verschärften Cybersicherheitsvorschriften nicht fristgerecht bis zum 17. Oktober 2024 in nationales Recht umgesetzt. Die NIS2-Richtlinie (2022/2555) soll ein einheitlich hohes Cybersicherheitsniveau in der gesamten EU gewährleisten. Im Vergleich zum Vorgänger wurde der Anwendungsbereich deutlich ausgeweitet. Die neuen Vorschriften betreffen nun nicht mehr nur klassische IT-Dienste, sondern erstrecken sich auch auf die Bereiche Abwasser- und Abfallwirtschaft, Raumfahrt, Gesundheitswesen sowie Energie und Verkehr. Auch die Herstellung kritischer Produkte, Post- und Kurierdienste sowie die öffentliche Verwaltung fallen künftig unter die verschärften Sicherheitsauflagen.
Zwei Monate Zeit für Nachbesserungen
Die betroffenen Mitgliedstaaten haben nun zwei Monate Zeit, auf die Aufforderungsschreiben der Kommission zu reagieren und die vollständige Umsetzung nachzuweisen. Erfolgt keine zufriedenstellende Antwort, kann die Kommission in einem nächsten Schritt mit Gründen versehene Stellungnahmen übermitteln. Parallel zur NIS2-Richtlinie mahnt die Kommission auch die Umsetzung der CER-Richtlinie an, die den Schwerpunkt vom Schutz kritischer Infrastrukturen hin zur Stärkung der Resilienz von Einrichtungen, die diese Infrastrukturen betreiben, verlagert. Hier sind sogar 24 Mitgliedstaaten säumig.
