NIS-2 Richtlinie: Gesetzesentwurf sorgt für Kritik

Am 4. November 2024 hat sich der Innenausschuss des Deutschen Bundestages in einer Sachverständigenanhörung mit dem Entwurf zur nis-2 Richtlinie befasst. Was längst hätte umgesetzt sein sollen, sorgt nun für Unruhe: Expertinnen und Experten äußerten erhebliche Bedenken am Vorgehen der Bundesregierung.

Die Bedrohungslage ist real – und wächst

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Cyberbedrohungslage in Deutschland als ernst ein. Vor allem der Bereich der öffentlichen Sicherheit, die Verwaltung sowie die Verteidigung sind zunehmend im Visier digitaler Angriffe.

Kommunale Verwaltungen gelten laut BSI-Lagebericht noch immer als unzureichend geschützt. Ein aktueller Vorfall aus Aschaffenburg zeigt, wie verwundbar kommunale IT-Strukturen sind: Nach einem Cyberangriff musste das Rathaus zwei Tage schließen. Zwar sei kein Schaden entstanden, doch Systeme mussten in Abstimmung mit dem LSI Bayern und externen Experten neu gestartet werden.

Auch andere Städte wie Potsdam, Bitterfeld-Wolfen oder Anhalt-Bitterfeld hatten in den letzten Jahren mit ähnlichen Angriffen zu kämpfen. Die Folgen reichten von Datenverlust bis hin zur tagelangen Lähmung ganzer Verwaltungsprozesse. Diese Vorfälle zeigen: Auch Kommunen sind längst attraktive Ziele für Cyberkriminelle.

Globale Auswirkungen verdeutlichen die Dringlichkeit

Bereits am 19. Juli 2024 führten globale IT-Ausfälle bei Krankenhäusern und im Luftverkehr zu massiven Störungen – ausgelöst durch ein fehlerhaftes Update des Sicherheitsanbieters Crowdstrike. Der wirtschaftliche Schaden ist bis heute nicht bezifferbar. Der Vorfall zeigt: IT-Sicherheit ist längst kein nationales Thema mehr.

Solche globalen Zwischenfälle verdeutlichen, wie schnell ein technisches Problem zur Unterbrechung kritischer Infrastrukturen führen kann. Besonders in vernetzten Systemen kann ein einziger Fehler ganze Kettenreaktionen auslösen – mit Folgen für Versorgung, Mobilität und medizinische Notversorgung.

NIS-2 Richtlinie: Umsetzung mit Verzögerung

Laut EU-Vorgabe hätte die nis-2 Richtlinie bis zum 17. Oktober 2024 in nationales Recht umgesetzt sein müssen. Anwendung finden sollte sie ab dem 18. Oktober. Doch die Bundesregierung startete das Gesetzgebungsverfahren erst nach der Sommerpause. In der Anhörung des Innenausschusses stieß der Entwurf auf breite Kritik.

Claudia Plattner, Präsidentin des BSI, erklärte, dass rund 29.500 Unternehmen in Deutschland von der nis-2 Richtlinie betroffen seien – viele wüssten das bislang nicht. Felix Kuhlenkamp vom Branchenverband Bitkom forderte, die Bundesregierung müsse Betroffene gezielt informieren. Unternehmen brauchen Klarheit, welche Pflichten auf sie zukommen und welche Fristen zu beachten sind.

Der Bitkom mahnte außerdem an, dass insbesondere kleine und mittelständische Unternehmen (KMU) stärker unterstützt werden müssten. Viele verfügen nicht über die Ressourcen, um die umfangreichen Anforderungen der Richtlinie aus eigener Kraft umzusetzen.

Vertragsverletzungsverfahren droht

Die verspätete Umsetzung könnte ein Vertragsverletzungsverfahren nach Art. 258 AEUV auslösen. Die Europäische Kommission nutzt dieses Instrument, um die einheitliche Anwendung von EU-Recht sicherzustellen. Als Folge könnte der Europäische Gerichtshof Deutschland zu hohen Geldstrafen verurteilen.

Ein solches Verfahren hätte nicht nur finanzielle, sondern auch politische Konsequenzen. Es würde Deutschland im Bereich der Cybersicherheit als Nachzügler erscheinen lassen – mit möglichen Auswirkungen auf das Vertrauen internationaler Partner und Investoren.

Rechtliche Grauzone für Unternehmen

Derzeit befinden sich betroffene Unternehmen in einer unklaren Lage: Einerseits sind sie verpflichtet, die Anforderungen der nis-2 Richtlinie zu erfüllen – andererseits fehlen konkrete nationale Vorgaben. Diese rechtliche Grauzone erhöht das Risiko für Betreiber kritischer Infrastrukturen und Unternehmen deutlich.

Ohne gesetzlich geregelte Umsetzungsfristen oder technische Mindeststandards bleibt vielen nur die Orientierung an den EU-Vorgaben. Doch hier fehlen Handlungssicherheit und nationale Klarheit.

Unternehmen wissen derzeit nicht, welche konkreten Maßnahmen als konform gelten – oder wie im Fall einer Prüfung oder eines Vorfalls verfahren werden muss. Dieses Vakuum führt zu Unsicherheit in der Umsetzung.

Was Unternehmen jetzt tun sollten

• Eigene Betroffenheit prüfen (Sektorenzugehörigkeit, Unternehmensgröße)
• Bestehende IT-Sicherheitsmaßnahmen bewerten und dokumentieren
• Gap-Analyse zum Stand der Umsetzung vorbereiten
• Meldeprozesse für Sicherheitsvorfälle etablieren
• Mitarbeitende gezielt im Umgang mit Vorfällen und Prävention schulen
• Aktuelle Lageberichte des BSI regelmäßig auswerten
• Beratung durch externe Spezialisten in Erwägung ziehen

Auch ohne endgültiges nationales Gesetz sollten Unternehmen die nis-2 Richtlinie bereits jetzt ernst nehmen – und mit Vorbereitungen beginnen. Die nächste Cyberattacke kommt bestimmt.

Fazit

Die nis-2 Richtlinie bringt weitreichende Pflichten mit sich – für große Teile der Wirtschaft, für Behörden, kritische Infrastrukturen und öffentliche Stellen. Wer jetzt nicht handelt, riskiert nicht nur Sanktionen, sondern gefährdet unter Umständen auch seine Betriebsfähigkeit.

Klar ist: Die Zeit des Abwartens ist vorbei. Unternehmen sollten jetzt agieren – auch ohne finale Umsetzung durch den Bundestag. Proaktive Vorbereitung kann helfen, Risiken zu minimieren und regulatorische Überraschungen zu vermeiden.

Quellen

• BSI Lagebericht 2024
• Webseite der Stadtverwaltung Aschaffenburg
• Bundestagsdokumentation zur Anhörung vom 4. November 2024
• bitkom.org

Weiterführende Informationen zur NIS2-Richtlinie

• EU-Richtlinie NIS2 – Volltext auf EUR-Lex
• BSI – Umsetzung der NIS2-Richtlinie in Deutschland
• ENISA – Informationen zur NIS2-Strategie und Umsetzung