Cybersicherheit: EU-Kommission leitet Vertragsverletzungsverfahren ein

Die EU-Kommission hat ein Vertragsverletzungsverfahren gegen Deutschland sowie 22 weitere EU-Mitgliedstaaten eingeleitet, weil sie die NIS-2-Richtlinie zur Cybersicherheit nicht vollständig umgesetzt haben. Am 17. Oktober dieses Jahres war die Frist, die Vorgaben in nationales Recht zu überführen, abgelaufen – nun zeigt sich, dass fast keiner der 27 EU-Mitgliedstaaten sie einhalten konnte. Wie die Kommission am 28. November mitteilte, haben die betreffenden Staaten jetzt zwei Monate Zeit, um auf die Aufforderungsschreiben zu antworten.

Der Gesetzentwurf für ein NIS-2-Umsetzungs-und Cybersicherheitsstärkungsgesetz wurde in Deutschland zwar am 24. Juli im Bundeskabinett beschlossen und befindet sich bereits im parlamentarischen Verfahren. Am 11. Oktober fand die erste Beratung im Bundestag statt. Dass ein Inkrafttreten bis zum 17. Oktober nicht möglich ist, war bereits vor dem Bruch der Ampelkoalition klar. Vielmehr war vom März kommenden Jahres die Rede.

BMI: Hohe Priorität

Doch selbst dieser verspätete Termin dürfte nunmehr auf der Kippe stehen. Eine Sprecherin des Bundesinnenministeriums erklärte gegenüber der DAZ zwar, dass die aktuelle Aufforderung der EU-Kommission die Priorität unterstreiche, „mit welcher der von der Bundesregierung vorgelegte Gesetzesentwurf nun beraten und beschlossen werden sollte“. Schließlich gelte es, den Schutz vor Cyberbedrohungen weiter zu stärken. Doch ob die Oppositionsfraktionen die derzeitige Minderheitsregierung dabei stützen würden, ist unklar. Sicher täte auch eine Union gut daran, das Vorhaben schnell abzuschließen, das Vertragsverletzungsverfahren wird schließlich jede kommende Regierung treffen. Aber noch stehen auf der Tagesordnung fürs Bundestagsplenum keinerlei weitere Gesetzesvorhaben.

Mit der NIS-2-Richtlinie soll ein hohes Cybersicherheitsniveau in der gesamten EU sichergestellt werden. Sie gilt für Einrichtungen in wesentlichen Sektoren wie öffentlichen elektronischen Kommunikationsdiensten, IKT-Verwaltungsdiensten und digitalen Diensten, aber auch in den Bereichen Abwasser- und Abfallbewirtschaftung, Raumfahrt, Gesundheit, Energie, Verkehr, Herstellung kritischer Produkte, Post- und Kurierdienste und öffentliche Verwaltung.

Das Umsetzungsgesetz wird auch neue Pflichten für große Apotheken mit sich bringen, die mehr als 50 Mitarbeitende haben oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen. Voraussichtlich bleibt ihnen nun länger Zeit, sich auf die Neuerungen einzustellen.