Die EU-Kommission hat das Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland wegen der fehlenden Umsetzung der NIS-2-Richtlinie eskaliert: in zwei Monaten droht ein Klageverfahren vor dem Gerichtshof der Europäischen Union.
Bis zum 17. Oktober 2024 hatten die 27 EU-Mitgliedsländer Zeit, die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU (Network and Information Security 2, kurz: NIS-2) in nationales Recht umzusetzen. Doch bisher ist wenig passiert. Lediglich acht Länder – nämlich Belgien, Griechenland, Italien, Kroatien, Lettland, Litauen, Rumänien und die Slowakei – haben bereits nationale Gesetze zur Umsetzung der NIS-2 verabschiedet. Einige weitere Länder, darunter Österreich, haben zumindest Gesetzesentwürfe vorgelegt, die sich in der Phase der parlamentarischen Diskussion oder im Gesetzgebungsprozesses befinden; beim Rest liegt derzeit noch nicht einmal ein Gesetzesentwurf vor. In Deutschland gab es mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) zwar ebenfalls bereits einen Entwurf; der fiel jedoch mit dem Scheitern der Ampel-Koalition dem Prinzip der sachlichen Diskontinuität zum Opfer, wonach alle Gesetzentwürfe und andere Vorlagen, die vom alten Bundestag noch nicht beschlossen wurden, neu eingebracht und verhandelt werden müssen. Bereits im November 2024 hat die EU-Kommission deshalb »Schritte zur Gewährleistung der vollständigen und fristgerechten Umsetzung von EU-Richtlinien« gegen 23 EU-Mitgliedsstaaten eingeleitet, sprich ein Vertragsverletzungsverfahren.
Da mindestens 19 EU-Mitgliedsstaaten hierauf nicht in genügender Weise reagiert haben, hat die EU-Kommission nun beschlossen, förmliche und mit Gründen versehene Stellungnahmen zur Einhaltung des EU-Rechts zu versenden. Neben Deutschland gehören zu den Adressaten Bulgarien, Tschechien, Dänemark, Estland, Irland, Spanien, Frankreich, Zypern, Lettland, Luxemburg, Ungarn, die Niederlande, Österreich, Polen, Portugal, Slowenien, Finnland und Schweden. Sie müssen binnen zwei Monaten reagieren und die erforderlichen Maßnahmen ergreifen. Versäumt es ein Mitgliedstaat auch hierauf, das EU-Recht einzuhalten, kann die Kommission den Mitgliedstaat vor dem Gerichtshof der Europäischen Union verklagen. Entscheidet der Gerichtshof gegen einen Mitgliedstaat, muss dieser die erforderlichen Maßnahmen ergreifen, um dem Urteil nachzukommen. In etwa 90 Prozent der Vertragsverletzungsverfahren kommen die Mitgliedstaaten jedoch ihren Verpflichtungen aus dem EU-Recht nach, bevor sie vor den Gerichtshof gebracht werden. Kommt ein Mitgliedstaat dem Urteil des Gerichtshofs trotz des ersten Urteils jedoch weiterhin nicht nach, kann die Kommission das Vertragsverletzungsverfahren fortsetzen. Nach einer einzigen schriftlichen Mahnung (Aufforderungsschreiben) kann die Kommission den Mitgliedstaat erneut an den Gerichtshof verweisen. Wenn die Kommission einen Mitgliedstaat erneut an den Gerichtshof verweist, kann sie dem Gerichtshof finanzielle Sanktionen vorschlagen, die sich nach Dauer und Schwere des Verstoßes sowie seiner Zahlungsfähigkeit richten. Welche Pläne die neue Bundesregierung hat, ist noch unklar; im Koalitionsvertrag heißt es lediglich:
Wir werden im Rahmen der Umsetzung der NIS-2-Richtlinie das BSI-Gesetz novellieren.
Mit der NIS-2 soll ein hohes Cybersicherheitsniveau in der gesamten EU sichergestellt werden. Sie gilt für Einrichtungen in wesentlichen Sektoren wie öffentlichen elektronischen Kommunikationsdiensten, IKT-Verwaltungsdiensten und digitalen Diensten, aber auch in den Bereichen Abwasser- und Abfallbewirtschaftung, Raumfahrt, Gesundheit, Energie, Verkehr, Herstellung kritischer Produkte, Post- und Kurierdienste und öffentliche Verwaltung. Die vollständige Umsetzung der Richtlinie ist nach Einschätzung der EU-Kommission von zentraler Bedeutung für die weitere Verbesserung der Resillienz und der Kapazitäten der in diesen Bereichen tätigen öffentlichen und privaten Einrichtungen sowie der EU als Ganzes, auf Sicherheitsvorfälle zu reagieren.