Folgen für die Cybersicherheit

NIS2: Vertragsverletzungsverfahren gegen Deutschland ein fatales Signal 

Cybersecurity as a Service, CSaaS, Cybersicherheit

Es kam nun so, wie es abzusehen war: Am 28. November 2024 hat die EU-Kommission mitgeteilt, ein Vertragsverletzungsverfahren gegen Deutschland und weitere 22 Mitgliedstaaten eingeleitet zu haben.

Hintergrund ist die fehlende Umsetzung der „Zweiten Netzwerk- und Informationssicherheits-Richtlinie“ (NIS-2-Richtlinie) sowie der Resilienz-Richtlinie, kurz CER-Richtlinie. Die NIS-2-Richtlinie will einheitliche Cybersicherheitsvorgaben im europäischen Binnenmarkt erreichen. Sie soll künftig Hand-in-Hand mit der CER-Richtlinie greifen, die sich der physischen Sicherheit widmet, weil in einer hybriden Gefahrenlage Risiken nicht mehr klar einem cyber- oder nicht-cyberbezogenen Risikobereich zugeordnet werden können. Daher nehmen die Richtlinien diejenigen Unternehmen und öffentlichen Behörden in den Blick, die für die Gesellschaft besonders bedeutende Dienstleistungen erbringen.

Anzeige

Jahrelang die Zeit ungenutzt verstreichen lassen

Umzusetzen waren die Richtlinien jeweils bis zum 17. Oktober 2024. Die Umsetzung der NIS-2-Richtlinie soll in Form des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsucG) erfolgen, das dann im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) zu einer Zeitenwende in der Cybersecurity führen wird. Künftig sollen rund mindestens 30.000 Unternehmen vom Gesetz betroffen sein, was einer Versechsfachung des Anwendungsbereichs gleichkommt. Das NIS2UmsuCG hatte es bis zum Bruch der Ampelkoalition immerhin schon als Entwurf in den Bundestag geschafft, eine erste Lesung fand Anfang November statt. Doch anstelle das Gesetz nun endlich zu verabschieden, wird es jetzt vermutlich schon wieder auf die lange Bank geschoben. In der Vorgeschichte war eine Reihe an Referentenentwürfen bekannt geworden, was verdeutlicht, wie strittig das NIS2UmsuCG bereits interministeriell bewertet wurde. Aber noch schlechter dran ist das KRITIS-Dachgesetz, das als vollständig neues Gesetz die CER-Richtlinie umsetzen sollte. Hier kam der Bruch der Koalition kurz nach Verabschiedung eines Regierungsentwurfs.

Missachtung des europäischen Rechts im großen Stil

Nun also hat die EU-Kommission das getan, was sie tun musste, und für manch einen überraschend schnell. Einige wenige europäische Mitgliedsstaaten haben die Umsetzung zwar rechtzeitig über die Bühne gebracht – die anderen 23 Mitgliedsstaaten erhielten daher nun ein Aufforderungsschreiben, was sie zur Antwort binnen zwei Monaten sowie zum Abschluss der Umsetzung der Richtlinien mit anschließender Mitteilung über diese Vorgänge verpflichtet. Gerade aufgrund des Bruchs der Ampel-Koalition scheint diese Frist für Deutschland nahezu aussichtslos, wenn jetzt nicht noch ein Wunder geschieht. Kommen die Staaten dieser Aufforderung nicht nach, kann die EU-Kommission mit Gründen versehene Stellungnahmen an die Staaten versenden. Als dritte Stufe droht dann nach dem Ablauf einer weiteren Frist der Gang vor den Europäischen Gerichtshof (EuGH). Kommt ein Mitgliedstaat dann einem Urteil des EuGH nicht nach, kann dieser finanzielle Sanktionen verhängen. Der Weg dorthin ist also noch weit.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Politische Debatten allein bringen keine bessere Cybersicherheit

Dies sollte allerdings die Politik nicht beruhigen, die Lage ist insbesondere für die Unternehmen, die möglicherweise künftig vom Gesetz betroffen sein werden, eine Farce. Wenngleich nicht alle Unternehmen zeitnah mit den Vorbereitungen begonnen haben, so kann man doch nach und nach ein Aufwachen in sämtlichen Sektoren vernehmen. Es wurden also erhebliche Mühen und Kosten in die Vorbereitung investiert, während von der Politik das Zeichen vermittelt wird, den Ernst der Lage nicht verstanden zu haben. Seit Jahren predigt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen Lageberichten, wie groß die Bedrohungslage für die IT-Sicherheit in Deutschland ist. Eine ähnliche Bedrohungslage aus dem Blickwinkel der physischen Sicherheit zeigen die zuletzt erfolgten Sabotageakte auf die Telekommunikationsinfrastruktur sowie regelmäßig stattfindende Klimaereignisse.

Anzeige

Mehr Cybersicherheit ist kein Selbstzweck, sondern Schutz unserer Grundwerte

Zugleich haben auch die Bürgerinnen und Bürger einen Anspruch darauf, dass die Politik ihren gesetzlichen Aufgaben nachkommt und die Funktionsfähigkeit sensibler Dienstleistungen mit der notwendigen Ernsthaftigkeit schützt. Auch wenn sie nicht groß ist, so bleibt aufgrund der Appellwirkung des Vertragsverletzungsverfahrens die Hoffnung, dass die beiden Gesetze doch noch über die Ziellinie gebracht werden. Gerade beim Entwurf zum NIS2UmsuCG zeigte zwar die Sachverständigenanhörung im Bundestag einige Verbesserungspotenziale. Diese waren aber nicht so gravierend, dass mit den Leitplanken der Richtlinie eine Einigung im Bundestag völlig aussichtslos erscheint. Es wäre auch mal ein positives Signal, wenn man die erheblichen Mühen der deutschen Wirtschaft zur Vorbereitung der NIS2-Richtlinie politisch honorieren würde.


Tilmann

Tilmann

Dittrich

Rechtsanwalt

Wessing & Partner Rechtsanwälte, Düsseldorf

Prof. Dr. Dennis-Kenji

Kipker

Research Director

cyberintelligence.institute

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.