Securam Consulting Logo

EU rügt Deutschland: Vertragsverletzungsverfahren wegen Cyber-Sicherheitslücken!

Die Europäische Kommission hat gleich zwei Vertragsverletzungsverfahren gegen Deutschland eingeleitet, da die NIS2-Richtlinie sowie die CER-Richtlinie nicht fristgerecht umgesetzt wurden.

Bereits in unserer Pressemitteilung vom 21. November dieses Jahres haben wir darauf hingewiesen, dass die Möglichkeit eines Vertragsverletzungsverfahrens gegen EU-Mitgliedstaaten besteht, sollte die NIS2-Richtlinie der Europäischen Union nicht fristgerecht umgesetzt werden. Die Bundesregierung hat zwar erste Schritte eingeleitet, allerdings müssen die entsprechenden Gesetzesvorhaben noch die legislativen Hürden des Bundestages und des Bundesrates nehmen.

Am 28. November hat nun die Europäische Kommission offiziell ein Vertragsverletzungsverfahren gegen insgesamt 23 EU-Mitgliedstaaten, darunter Deutschland, Finnland und Schweden, eingeleitet. Dies geschah, weil die betreffenden Staaten die Richtlinie zur Gewährleistung hoher gemeinsamer Sicherheitsstandards nicht fristgerecht umgesetzt haben.

Gemäß Artikel 258 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) räumt die Europäische Kommission den betroffenen EU-Ländern zunächst eine Frist von zwei Monaten ein. Innerhalb dieses Zeitraums sind die betreffenden Mitgliedsländer dazu aufgefordert, die erforderlichen Maßnahmen zur vollständigen Umsetzung der NIS2-Richtlinie zu ergreifen und diese der Kommission vorzulegen.

Zusätzlich hat die EU-Kommission gegen Deutschland und 23 weitere Mitgliedsländer ein weiteres Vertragsverletzungsverfahren eingeleitet.
Es betrifft die nationalen Maßnahmen zur Umsetzung der CER-Richtlinie. Diese Richtlinie (Critical Entities Resilience Directive) ist eine EU-weite Regelung, die darauf abzielt, die Widerstandsfähigkeit von sogenannten kritischen Einrichtungen in der Europäischen Union zu erhöhen. Kritische Einrichtungen sind Organisationen, Systeme oder Anlagen, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf die öffentliche Sicherheit, Gesundheit oder Wirtschaft haben könnte.
Der Regierungsentwurf hierzu wurde am 06.11.2024 verabschiedet, allerdings noch nicht verkündet.

Sollte nun die Umsetzung bei beiden Richtlinien nicht innerhalb der Frist erfolgen oder keine ausreichenden Informationen über die ergriffenen Maßnahmen bereitgestellt werden, behält sich die EU-Kommission vor, das Verfahren in die nächste Stufe zu führen. Hier hat die Europäische Kommission die Möglichkeit, eine begründete Stellungnahme abzugeben. Diese sogenannte mit Gründen versehene Stellungnahme stellt die zweite Stufe des Vertragsverletzungsverfahrens gemäß Artikel 258 AEUV dar.

Wenn die Maßnahmen des Weiteren nicht fristgerecht erfüllt werden, kann die EU-Kommission weitere Verfahrensschritte einleiten. Es besteht dann unter anderem die Möglichkeit, dass die Kommission das Verfahren an den EuGH leitet und dieser ein Urteil fällt. Sofern das Urteil nicht vom jeweiligen Mitgliedsstaat eingehalten wird, kann die Europäische Kommission ein zweites Verfahren mit Antrag auf Setzung eines Zwangsgeldes oder einer Geldstrafe einleiten.

Welche Schritte werden Deutschland und die anderen EU-Mitgliedsstaaten als nächstes gehen und wie wird sich das Verfahren entwickeln? Es bleibt spannend.

 

 

 

 

Könnte Sie auch interessieren: