Mit großer Spannung wurde das Inkrafttreten der NIS-Richtlinie (Network and Information System Directive) mit dem Ablauf der Frist am 17. Oktober 2024 erwartet.
Die EU hat einen starken rechtlichen Rahmen geschaffen mit dem sie Unternehmen und Betreiber kritischer Infrastrukturen (KRITIS) verpflichtet, Cybersicherheitsmaßnahmen zu ergreifen. Auch Hersteller müssen sicherstellen, dass ihre Produkte starke Sicherheitsmerkmale aufweisen.
Die Richtlinie ist auf die Stärkung der Cybersicherheit ausgerichtet und sollte nach Art. 41 Abs.1 EU 2022/2555 bis zum 17.Oktober 2024 von den Mitgliedstaaten umgesetzt werden. Ab dem 18.Oktober 2024 sollte diese dann Anwendung finden.
Aktuell befindet sie sich noch vor der zweiten Lesung im Parlament und lässt auf sich warten.
Die große Frage die sich stellt, ist, welche Auswirkungen kann dies nun für Deutschland haben?
Mit der Europäischen Richtlinie EU 2022/2555 vom 14. Dezember 2022 wurde in Art. 41 Abs.1 EU 2022/2555, die Umsetzung der europäischen Richtlinie in nationale Gesetze vereinbart. Die NIS2- Richtlinie ersetzt die vorherige NIS-Richtlinie vom 06. Juli 2016 mit dem Regelungsinhalt über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union.
Die NIS2-Richtlinie erweitert die NIS-Richtlinie sowohl in der Meldepflicht für Unternehmen bei Sicherheitsvorfällen als auch ihren Adressatenkreis.
NIS2 führt unter anderem auch eine neue Bemessungsgröße der Unternehmen, anhand von Anwendung der EU-Empfehlung aus 2003/361/EG, ein. Zusätzlich werden neue Sektoren, die der Richtlinie unterfallen, erschlossen.
EU-Richtlinien wirken verbindlich hinsichtlich des zu erreichenden Ziels für die Mitgliedstaaten. In ihrer Umsetzung haben die EU-Länder allerdings einen gewissen Gestaltungsspielraum. So auch bei der NIS2 Richtlinie.
Bereits Mitte dieses Jahres deutete sich an, dass die Einhaltung der Frist für Deutschland Schwierigkeiten aufweisen könnte. Während einige EU-Mitgliedsländer bereits eine gültige Umsetzung darlegten, waren andere noch im Umsetzungsprozess. Aktuell liegt lediglich ein Regierungsentwurf vor.
Trotz Fristablauf und fehlender Umsetzungsstrategie bezog das Bundesministerium für Inneres und Heimat (BMI) bisher keine Stellung.
Die aktuelle Situation kann ein Vertragsverletzungsverfahren gem. Art. 258 AEUV durch die Europäische Kommission auslösen. Dieses Verfahren wird von der EU als Instrument genutzt, eine einheitliche Anwendung des EU-Rechts in den Mitgliedstaaten sichern zu stellen.
Auch wenn in diesem Verfahren einige Schritte durchlaufen werden und unter anderem erst eine Stellungnahme des jeweiligen Mitgliedstaates erforderlich ist, könnte das Ergebnis am Ende eine Klage vor dem Europäischen Gerichtshof sein. Sanktionen in Form von hohen Geldstrafen wären die Folge.
Auf verschiedensten Medien-Plattformen hält sich das Gerücht stark, dass erst 2025 mit einer Umsetzung ins nationale Recht zu rechnen ist. Auch hierzu blieb eine Stellungnahme bisher aus.
Für die Unternehmen kann dies nun bedeuten, dass das supranationale Recht der NIS-2 Regelungen Anwendung finden kann.
Es stellt sich hier nun die Frage, welche Anforderungen umgesetzt werden müssen. Aktuell befinden sich Unternehmen mangels nationaler Umsetzung in einer rechtlichen Grauzone. Sie sind möglicherweise dazu verpflichtet, die EU-Standards zu erfüllen, haben jedoch keine klaren, nationalen Vorschriften zu dessen Umsetzung und Einhaltung sie verpflichtet sind. Unternehmen und Betreiber kritischer Infrastrukturen sollten die Gesetzgebung im Auge behalten, um schnellstmöglich agieren zu können.
Die nationalen Gerichte sind nun dazu verpflichtet, dass nationale Recht so weit wie möglich richtlinienkonform auszulegen. Dies umfasst, dass die bestehenden Gesetze im Einklang mit den Zielen der Richtlinie zu beachten sind.
Wann mit einer konkreten Aussage des BMI zur Umsetzung zu rechnen ist und wie die Zwischenzeit aussieht bleibt vorerst abzuwarten.
