Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist vorläufig vom Tisch: Die Umsetzung der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU (Network and Information Security 2, kurz: NIS-2) in nationales Recht verschiebt sich auf die Zeit nach der Bundestagswahl.
Es ist von höchster Bedeutung, dass dieses Gesetz schnellstens verabschiedet wird. Die Tatsache, dass die Wirtschaft die Einführung fordert, obwohl es zu Mehraufwänden führen wird, spricht hier eine deutliche Sprache. Es besteht die große Sorge, dass sich eine weitere Verzögerung ergibt.
– so steht es in einer Stellungnahme von Prof. Timo Kob, Vorstandsmitglied des IT-Branchenverbandes Bitkom, im Rahmen der Expertenanhörung im Bundestag am 14. Januar 2025. Und diese Sorge hat sich bestätigt. Nach einem Bericht von heise.de kommt das NIS2UmsuCG nicht mehr vor der Bundestagswahl, die für den 23. Februar 2025 angesetzt ist; die zuständigen Berichterstatter hätten aufgegeben. Am Ende sollen die Verhandlungen unter anderem an der FDP gescheitert sein, die auf das im Koalitionsvertrag vorgesehene Schwachstellenmanagement beharrt haben soll. Die Grünen gaben dagegen laut heise.de beiden Ampel-Partnern die Schuld und darunter auch Bundesinnenministerin Nancy Faeser (SPD); sie habe es versäumt, die Gesetzentwürfe rechtzeitig vorzulegen, schließlich lägen die EU-Richtlinien seit über zwei Jahren vor. Von Seiten der Union soll schließlich wenig Bereitschaft gezeigt worden sein, über den Entwurf zum NIS2UmsuCG zu verhandeln.
Damit wird die Uhr nach der Bundestagswahl auf Null gestellt. Die dann neue Bundesregierung wird mit hoher Wahrscheinlichkeit über die Umsetzung der NIS-2 in nationales Recht völlig neu verhandeln; eine Bindung an den bisher vorliegenden Gesetzesentwurf besteht nicht, so dass am Ende ein – im Rahmen der europarechtlichen Vorgaben – anderes Gesetzes stehen könnte. Und das steht unter zeitlichem Druck: Bis zum 17. Oktober 2024 hatten die EU-Mitgliedsländer Zeit, die NIS-Richtlinie in nationales Recht umzusetzen. Doch bisher haben nur Kroatien, Italien, Belgien und Litauen die Richtlinie vollständig umgesetzt. Die meisten anderen EU-Länder streben eine Einführung im 1. Quartal 2025 an; die fragmentierte Umsetzung schafft damit erhebliche Herausforderungen, insbesondere für grenzüberschreitend tätige Unternehmen und Organisationen. Bereits im November 2024 hat die EU-Kommission deshalb »Schritte zur Gewährleistung der vollständigen und fristgerechten Umsetzung von EU-Richtlinien« gegen 23 EU-Mitgliedsstaaten (Bulgarien, Tschechien, Dänemark, Deutschland, Estland, Irland, Griechenland, Spanien, Frankreich, Zypern, Lettland, Luxemburg, Ungarn, Malta, Niederlande, Österreich, Polen, Portugal, Rumänien, Slowenien, die Slowakei, Finnland und Schweden) eingeleitet, sprich ein Vertragsverletzungsverfahren. Die damals gesetzte Frist von zwei Monaten ist mittlerweile ebenfalls abgelaufen. Die EU-Kommission hat für diesen Fall angedroht, »mit Gründen versehene Stellungnahmen« an diese Länder zu richten.
Nicht ausgeschlossen ist, dass ein neues Gesetzgebungsverfahren auch die Bindung staatlicher Akteure neu diskutiert. Johannes Rundfeldt von der AG KRITIS, einer Gruppe von Fachleuten und Experten, die sich täglich mit kritischen Infrastrukturen beschäftigen, erklärt:
Aus unserer Sicht ist es unerträglich, dass der Staat gegenüber der Wirtschaft es für zumutbar und verhältnismäßig hält, diese zur Umsetzung des Stands der Technik zu verpflichten, ein vergleichbares Sicherheitsniveau zum Nachteil der BürgerInnen in der eigenen Infrastruktur jedoch nicht durchsetzt.