Die EU-Kommission hat wegen der nicht vollständigen Umsetzung der NIS-2-Richtlinie ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet. Zudem bemängelt Brüssel Mängel bei der Umsetzung der Richtlinie über die Resilienz kritischer Einrichtungen. Ähnliche Verfahren laufen zudem gegen mehr als 20 weitere EU-Staaten. Sie haben nun zwei Monate Zeit, um auf die Aufforderungsschreiben der EU-Kommission zu antworten.

Eigentlich mussten die Mitgliedstaaten die NIS2-Richtlinie und auch die Richtlinie über die Resilienz kritischer Einrichtungen bis zum 17. Oktober 2024 in nationales Recht umsetzen. „Mit der NIS-2-Richtlinie soll ein hohes Cybersicherheitsniveau in der gesamten EU sichergestellt werden. Sie gilt für Einrichtungen in wesentlichen Sektoren wie öffentlichen elektronischen Kommunikationsdiensten, IKT-Verwaltungsdiensten und digitalen Diensten, aber auch in den Bereichen Abwasser- und Abfallbewirtschaftung, Raumfahrt, Gesundheit, Energie, Verkehr, Herstellung kritischer Produkte, Post- und Kurierdienste und öffentliche Verwaltung. Die vollständige Umsetzung der Richtlinie ist von zentraler Bedeutung für die weitere Verbesserung der Resilienz und der Kapazitäten der in diesen Bereichen tätigen öffentlichen und privaten Einrichtungen sowie der EU als Ganzes, auf Sicherheitsvorfälle zu reagieren“, teilte die EU-Kommission mit.

„Angesichts der Verzögerungen im Gesetzgebungsprozess in den vergangenen Jahren kommt das nicht wirklich überraschend – ist doch inzwischen mit einer NIS2-Umsetzung nicht vor Herbst nächsten Jahres zu rechnen“, kommentiert Dirk Arendt, Director Government & Public Sector DACH bei Trend Micro. „Unabhängig von den nun einsetzenden – und ebenfalls erwartbaren – parteipolitischen Fingerzeigen halte ich die aktuelle Lage für äußerst bedenklich, sendet sie noch verheerende Signale nach innen wie nach außen.“

Digitale Technologien seien ein Schlüssel für den Erfolg der deutschen Wirtschaft. Diese Technologien stände aber auch immer stärker im Fokus von Cyberangriffen, die so zu einer wachsenden Bedrohung für die gesamte deutsche Wirtschaft würden. Unternehmen hätte das erkannt und seien auch bereit, in Cybersicherheit zu investieren.

„Der Umfang dieser Regulierung zeigt auch, wie wichtig Cybersicherheit nicht mehr nur für die Wirtschaft, sondern für unser gesamtes Gemeinwesen ist. Cyberangriffe auf kritische Infrastrukturen sind geeignet, massive Störungen zu verursachen und das Vertrauen in die Leistungsfähigkeit von Staat und Infrastruktur zu schädigen. Dabei handelt es sich nicht nur um abstrakte Überlegungen: Deutschland und Europa stehen im Fokus hybrider Bedrohungen. Die Zeitenwende konsequent zu denken, bedeutet deshalb auch, eine effektivere Cybersicherheitsarchitektur für Staat, Wirtschaft und Bevölkerung zu errichten. So ist es zu begrüßen, dass die EU gerade diesen Bereich verstärkt reguliert, um das Schutzniveau in der gesamten Union zu erhöhen. In diesen Zeiten muss Europa wieder enger zusammenstehen – auch im Cyberraum“, ergänzte Arendt.