NIS2-Desaster: Unternehmen im Blindflug - Millionenstrafen und Sicherheitslücken drohen!

NIS2-Desaster: Unternehmen im Blindflug – Millionenstrafen und Sicherheitslücken drohen!

Posted On: 31. Januar 2025
Posted By: pr-gateway

Verzögerung mit weitreichenden Folgen für Cybersicherheit und Wirtschaft

Die nationale Umsetzung der EU-Richtlinien NIS2 und CER in Deutschland wird nicht mehr vor der nächsten Bundestagswahl abgeschlossen. Dies führt zu einer anhaltenden Rechtsunsicherheit für Unternehmen und Betreiber kritischer Infrastrukturen, da verbindliche Regelungen zur Cybersicherheit und Resilienz weiterhin fehlen. Zudem droht Deutschland nun ein Vertragsverletzungsverfahren der Europäischen Union, was zu erheblichen finanziellen Sanktionen führen kann.

Hintergrund und Bedeutung der Gesetzgebung:
Die NIS2-Richtlinie wurde von der Europäischen Union verabschiedet, um einheitliche und strengere Cybersicherheitsanforderungen für Unternehmen und Organisationen in Europa zu schaffen. Sie ersetzt die bisherige NIS-Richtlinie und erweitert den Geltungsbereich auf mehr Branchen, während sie gleichzeitig verschärfte Meldepflichten und Sanktionsmechanismen einführt. Die CER-Richtlinie ergänzt diese Vorgaben durch analoge Schutzmaßnahmen für kritische Infrastrukturen.

Deutschland plante die Umsetzung dieser Regelwerke durch zwei miteinander verzahnte Gesetze:
1. Das NIS2-Umsetzungsgesetz, das Anforderungen an IT-Sicherheit, Meldepflichten und Risikomanagement für Unternehmen regeln sollte.
2. Das KRITIS-Dachgesetz, das umfassende Sicherheitsvorgaben für kritische Infrastrukturen enthielt, um physische und digitale Bedrohungen ganzheitlich zu adressieren.
Da das NIS2-Umsetzungsgesetz nicht verabschiedet wurde, ist auch das KRITIS-Dachgesetz hinfällig, da beide Regelwerke aufeinander aufbauen.

Gescheiterte Verhandlungen und politische Verantwortung:
Trotz intensiver Verhandlungen zwischen den Regierungsparteien SPD, Grünen und FDP nach dem Zerfall der Ampel-Koalition konnte keine Einigung erzielt werden. Ein zentraler Streitpunkt war das geplante Schwachstellenmanagement, das insbesondere von der FDP gefordert wurde. Während die SPD nicht bereit war, einer zweijährigen Übergangsfrist zuzustimmen, bestand die FDP auf maximalen Anpassungen der Regelung.
Die Grünen machten sowohl die Verhandlungspartner als auch Bundesinnenministerin Nancy Faeser (SPD) für das Scheitern verantwortlich. Sie kritisierten, dass die Regierung es versäumt habe, die Umsetzungsgesetze frühzeitig vorzulegen – obwohl die EU-Richtlinien bereits seit über zwei Jahren vorlagen. Die Unionsfraktion signalisierte ihrerseits kein Interesse mehr an weiteren Verhandlungen, da sie insbesondere den NIS2-Entwurf für nicht verhandlungstauglich hielt.

Das Scheitern der Gesetze hat erhebliche Auswirkungen:
Rechtsunsicherheit für Unternehmen: Unternehmen und Betreiber kritischer Infrastrukturen wissen nicht, welche konkreten Cybersicherheitsmaßnahmen sie ergreifen müssen, da die nationalen Vorschriften fehlen.

Verzögerung der EU-Umsetzung und drohendes Vertragsverletzungsverfahren:
Die Frist zur Umsetzung der NIS2-Richtlinie in nationales Recht endete im Oktober 2024. Da Deutschland diese Vorgaben nicht fristgerecht in nationales Recht überführt hat, droht ein Vertragsverletzungsverfahren durch die EU-Kommission.
Fehlende Schutzmechanismen: Ohne klare gesetzliche Vorgaben bleibt das Risikomanagement in Unternehmen fragmentiert, wodurch die Abwehrfähigkeit gegen Cyberangriffe und physische Bedrohungen beeinträchtigt wird.

Vertragsverletzungsverfahren und mögliche Strafen für Deutschland:
Wenn Deutschland die NIS2-Richtlinie weiterhin nicht in nationales Recht umsetzt, wird die Europäische Kommission ein Vertragsverletzungsverfahren gegen Deutschland einleiten.
Dies geschieht in mehreren Stufen:
Förmliche Aufforderung („Letter of Formal Notice“) durch die EU-Kommission
Deutschland erhält eine erste Mahnung mit einer Frist zur Nachbesserung.
Begründete Stellungnahme („Reasoned Opinion“) durch die Kommission
Falls keine ausreichende Reaktion erfolgt, wird eine zweite, formelle Aufforderung erteilt.
Klage vor dem Europäischen Gerichtshof (EuGH)
Bei weiterer Untätigkeit kann die Kommission Klage beim Europäischen Gerichtshof (EuGH) einreichen.
Falls Deutschland verliert, muss die Bundesregierung die Richtlinie unverzüglich umsetzen.

Finanzielle Sanktionen:
Falls Deutschland nach einem EuGH-Urteil weiterhin nicht nachbessert, kann der Gerichtshof Geldstrafen verhängen.

Wie geht es weiter?
Nach der Bundestagswahl muss eine neu gebildete Bundesregierung die Umsetzung der NIS2- und CER-Richtlinien erneut aufgreifen. Da der neu gewählte Bundestag nicht einfach auf bereits vorliegende Entwürfe der vorherigen Legislaturperiode zurückgreifen kann, ist eine vollständige Neubearbeitung der Gesetze erforderlich. Dies wird den Umsetzungsprozess weiter verzögern und die rechtliche Unsicherheit verlängern.
Die EU-Kommission hat bereits angedeutet, dass Deutschland mit einem Vertragsverletzungsverfahren rechnen muss, wenn die Umsetzung nicht zeitnah erfolgt. Dies könnte finanzielle Sanktionen nach sich ziehen und den Druck auf die zukünftige Bundesregierung erhöhen, die Verzögerungen rasch zu beheben.

Das endgültige Scheitern der Umsetzungsgesetze stellt einen schwerwiegenden Rückschlag für die Cybersicherheitsstrategie Deutschlands dar. Unternehmen müssen weiterhin ohne klare Vorgaben zur Absicherung ihrer digitalen Infrastrukturen agieren, während der Staat einer möglichen Sanktionierung durch die EU entgegensieht.
Unternehmen, die von der NIS2-Richtlinie betroffen sind, sollten trotz der fehlenden nationalen Umsetzung nicht untätig bleiben. Die EU-Richtlinie ist bereits in Kraft, und Unternehmen sind früher oder später verpflichtet, sich an die neuen Vorgaben anzupassen. Um sich bestmöglich vorzubereiten und Risiken zu minimieren, sollten Unternehmen folgende Maßnahmen ergreifen:

1. NIS2-Anwendbarkeit prüfen
Firmen und Organisationen sollten zunächst klären, ob sie unter den Geltungsbereich der NIS2-Richtlinie fallen. Die Richtlinie betrifft:
Essentielle Einrichtungen (größere Unternehmen aus kritischen Sektoren wie Energie, Transport, Finanzwesen, Gesundheitswesen, digitale Infrastruktur).
Wichtige Einrichtungen (mittelgroße Unternehmen aus diesen Sektoren).
Erweiterter Anwendungsbereich: NIS2 gilt nicht nur für klassische Kritische Infrastrukturen (KRITIS), sondern auch für viele IT-Dienstleister, Softwareunternehmen, Cloud-Anbieter, Rechenzentren, Chemie- und Lebensmittelunternehmen.
Falls unklar ist, ob das Unternehmen betroffen ist, sollte eine Risikoanalyse und eine Prüfung der gesetzlichen Kriterien erfolgen.

2. Bestehende Sicherheitsmaßnahmen mit NIS2-Anforderungen abgleichen
Auch wenn es noch keine nationale Umsetzung gibt, sind die grundsätzlichen Anforderungen aus der EU-Richtlinie bekannt. Unternehmen können sich bereits darauf vorbereiten, indem sie ihre bestehenden IT-Sicherheitsmaßnahmen und Prozesse überprüfen.

Die Securam Consulting berät Sie zu folgenden Themen:
Risikomanagement: Einführung eines ganzheitlichen Cyber-Risikomanagements.
Meldepflichten: Unternehmen müssen Cybersicherheitsvorfälle innerhalb von 24 Stunden an die zuständigen Behörden melden (bisher 72 Stunden).
Notfallpläne & Business Continuity: Unternehmen müssen nachweisen, dass sie Incident-Response-Pläne für Cyberangriffe haben.
Lieferketten-Sicherheit: Auch Zulieferer und Partner müssen überprüft werden – Unternehmen haften für Sicherheitsmängel in ihrer Lieferkette!
Unsere Empfehlung: Durchführung eines internen oder externen NIS2-GAP-Assessments, um Lücken im aktuellen Sicherheitsniveau zu identifizieren.

Fazit: Unternehmen sollten jetzt aktiv werden!
Auch wenn die nationale Umsetzung von NIS2 in Deutschland stockt, sollten betroffene Unternehmen die Zeit nutzen, um sich vorzubereiten. Wer frühzeitig IT-Sicherheitsmaßnahmen verbessert, Meldepflichten berücksichtigt und Governance-Strukturen anpasst, kann sich vor späteren Strafzahlungen und regulatorischem Druck schützen.
Wichtig: Unternehmen, die erst nach der offiziellen Umsetzung reagieren, riskieren hohe Strafen und haben möglicherweise zu wenig Zeit, um die komplexen Anforderungen zu erfüllen. Eine frühzeitige Vorbereitung ist daher essenziell.

Die Expertise der SECURAM Consulting GmbH umfasst ein breites Spektrum an Dienstleistungen, die speziell auf die Bedürfnisse der Kunden zugeschnitten sind. Das Angebot reicht von der Einführung und Optimierung von Informationssicherheitsmanagementsystemen (ISMS) nach ISO27001 und anderen Standards bis hin zur umfassenden Beratung im Bereich Business Continuity Management (BCM), der Business Impact Analyse (BIA) bis hin zum Notfallmanagement. Darüber hinaus unterstützt das Hamburger Beratungshaus bei der Vorbereitung und Umsetzung von Zertifizierungen wie TISAX, NIS2 und DORA.

Firmenkontakt
Securam Consulting GmbH
Nadine Eibel
Neue ABC Straße 8
20354 Hamburg
+49 40-298 4553-0

https://securam-consulting.com/