EU leitet Vertragsverletzungsverfahren gegen Deutschland wegen NIS2 ein

Die EU-Kommission hat Vertragsverletzungsverfahren gegen Deutschland eingeleitet, weil es die NIS2-Richtlinie und andere Kritis-Vorgaben nicht umgesetzt hat.

In Pocket speichern vorlesen Druckansicht 27 Kommentare lesen
Mast einer Ăśberlandstromleitung mit stilisiertem Hintergrund und den sichtbaren Worten "Cyber Attack".

(Bild: vectorfusionart/Shutterstock.com)

Lesezeit: 2 Min.

Jetzt rächt es sich, dass die einstige Ampel-Regierung bei zwei entscheidenden Gesetzesvorhaben zum besseren Schutz kritischer Infrastrukturen (Kritis) lange nicht auf einen grünen Zweig gekommen ist. Die EU-Kommission hat am Donnerstag Deutschland und 22 weitere EU-Mitgliedsstaaten aufgefordert, ihr Informationen zum Stand der Umsetzung der NIS2 getauften neuen EU-Richtlinie zur Netz- und Informationssicherheit mitzuteilen. Das ist die erste Stufe eines Vertragsverletzungsverfahrens, das teuer enden kann. Mit NIS2 soll ein hohes Cybersicherheitsniveau in der gesamten EU in Sektoren wie Energie- und Wasserversorgung, Informations- und Kommunikationstechnologien (IKT), Verkehr, Finanzwesen und Medien gewährleistet werden. Die EU-Länder hätten die Richtlinie bis zum 17. Oktober in nationales Recht umsetzen müssen.

Gegen 24 Mitgliedstaaten inklusive Deutschland hat die Brüsseler Regierungsinstitution zugleich weitere Verletzungsverfahren gestartet, weil sie ihr keine nationalen Maßnahmen zur Umsetzung der Richtlinie über die Resilienz kritischer Einrichtungen mitgeteilt haben. Dabei handelt es sich quasi um die Analog-Variante der NIS2. Mit dieser zweiten Richtlinie sollen Betreiber von Anlagen und Systemen in deutlich erweiterten Kritis-Sektoren stärker in die Pflicht genommen werden. Sie müssen etwa Risikobewertungen durchführen, um die Widerstandsfähigkeit gegenüber Störungen und Gefahren zu erhöhen, sowie Mindeststandards einhalten. Die Umsetzungsfrist endete hier ebenfalls Mitte Oktober. Die betroffenen Staaten haben nun zwei Monate Zeit, um einschlägige Gesetzesvorhaben abzuschließen und die Kommission darüber zu informieren. Andernfalls droht die zweite Stufe des Verletzungsverfahrens.

Hierzulande hat die Bundesregierung mittlerweile zwar einschlägige Vorhaben auf den Weg gebracht. Sie müssen beide aber noch durch den Bundestag und den Bundesrat. Zum NIS2-Umsetzungsgesetz fand im Oktober die 1. Lesung statt. Die zweite Richtlinie will die Exekutive mit dem Kritis-Dachgesetz in nationales Recht gießen. Sie einigte sich erst Anfang November auf den entsprechenden Regierungsentwurf. Nach dem Ampel-Aus ist die Zukunft der Vorhaben ungewiss. Thorsten Frei, Vizechef der CDU/CSU-Bundestagsfraktion, monierte jüngst beim Kritis-Dachgesetz, der Entwurf enthalte "noch deutlich zu viele Fehler und Ungereimtheiten". Man könne ihn nicht unterstützen. Grünen-Fraktionsvize Konstantin von Notz konterte in der "Welt": "Dass die Union trotz krassester Bedrohungslagen und zahlreicher Anschläge auf unsere kritischen Infrastrukturen in den vergangenen Monaten aus parteitaktischen Überlegungen eine Fundamentalopposition einnimmt, ist schlicht unverantwortlich."

(nie)