Die Verhandlungen zur Umsetzung der EU-Richtlinie NIS2 (Network and Information Security Directive) in deutsches Recht sind gescheitert. Ursprünglich sollte die Richtlinie bis zum 17. Oktober 2024 in nationales Recht überführt werden, um ein einheitliches Cybersicherheitsniveau innerhalb der Europäischen Union zu gewährleisten. Trotz intensiver Bemühungen konnte keine Einigung erzielt werden, was erhebliche Konsequenzen für Deutschland mit sich bringt.
Hintergründe des Scheiterns
Nach dem Bruch der Ampel-Koalition und der Ankündigung vorgezogener Neuwahlen im Februar 2025 hofften die verbleibenden Regierungsparteien, das Gesetz zur Umsetzung der NIS2-Richtlinie noch vor der Wahl verabschieden zu können. Die Verhandlungen scheiterten jedoch unter anderem an unterschiedlichen Positionen bezüglich des Schwachstellenmanagements. Die FDP bestand auf der Einführung eines solchen Managements mit einem zweijährigen Vorlauf, während die SPD diesem Vorschlag nicht zustimmte. Infolgedessen wurde das Gesetz nicht mehr verabschiedet.
Alles auf Anfang
In Deutschland gilt das Diskontinuitätsprinzip, welches besagt, dass mit dem Ende einer Legislaturperiode alle noch nicht abgeschlossenen Gesetzesvorhaben verfallen. Das bedeutet, dass der neu gewählte Bundestag nicht an die Arbeiten seines Vorgängers gebunden ist; alle Gesetzesinitiativen müssen neu eingebracht und beraten werden.
Durch das Scheitern der Verhandlungen und die bevorstehenden Neuwahlen unterliegen die bisherigen Bemühungen zur Umsetzung der NIS2-Richtlinie diesem Prinzip. Der neu gewählte Bundestag muss das Gesetzgebungsverfahren von Grund auf neu beginnen, was zu weiteren Verzögerungen führt.
Konsequenzen für Deutschland
Das Scheitern der Umsetzung hat mehrere Auswirkungen:
- Vertragsverletzungsverfahren der EU: Deutschland hat die Frist zur Umsetzung der NIS2-Richtlinie überschritten. Die Europäische Kommission hat daher ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet. Deutschland muss nun innerhalb von zwei Monaten Stellung nehmen und die Umsetzung vorantreiben, um mögliche Sanktionen zu vermeiden.
- Unsicherheit für Unternehmen: Ohne die nationale Umsetzung der NIS2-Richtlinie fehlt es an klaren Vorgaben für Unternehmen bezüglich der Cybersicherheitsanforderungen. Dies führt zu Rechtsunsicherheit und erschwert es Unternehmen, angemessene Sicherheitsmaßnahmen zu ergreifen.
- Verzögerte Verbesserung der Cybersicherheit: Die NIS2-Richtlinie zielt darauf ab, die Cybersicherheit in der EU zu stärken. Durch die Verzögerung bei der Umsetzung bleiben bestehende Sicherheitslücken länger bestehen, was potenzielle Risiken für kritische Infrastrukturen und die allgemeine IT-Sicherheit in Deutschland erhöht.
Fazit
Das Scheitern der Verhandlungen zur Umsetzung der NIS2-Richtlinie und die Anwendung des Diskontinuitätsprinzips führen zu erheblichen Verzögerungen bei der Stärkung der Cybersicherheit in Deutschland. Es ist nun entscheidend, dass der neu gewählte Bundestag die Umsetzung zügig vorantreibt, um den Anschluss an europäische Sicherheitsstandards nicht zu verlieren und die Resilienz gegenüber Cyberbedrohungen zu erhöhen.