Eine Strafe gegen Deutschland rückt näher, weil der Bund beim Schutz kritischer Infrastrukturen (Kritis) und beim Erhöhen der Cybersicherheit hinterherhinkt. Die EU-Kommission hat am Mittwoch das seit Ende November laufende Vertragsverletzungsverfahren auf die zweite Stufe gehoben, weil die Bundesrepublik nach wie vor die NIS2 getaufte EU-Richtlinie zur Netzwerk- und Informationssicherheit nicht in nationales Recht gegossen hat. Sie hat der Bundesregierung zu dem Vorgang nun eine mit Gründen versehene Stellungnahme mit weiteren Fragen geschickt, auf die diese zeitnah reagieren muss.
Mit der NIS2 soll ein hohes Cybersicherheitsniveau in der gesamten EU in Sektoren wie Informations- und Kommunikationstechnologien (IKT), Energie- und Wasserversorgung, Verkehr, Finanzwesen und Medien gewährleistet werden. Die EU-Länder hätten die Richtlinie bis zum 17. Oktober umsetzen müssen. Ein erstes Auskunftsersuchen zum Stand der Dinge richtete die Kommission im Spätherbst an insgesamt 24 Mitgliedsstaaten. Den zweiten blauen Brief hat die Brüsseler Regierungsinstitution nun neben Deutschland an 18 weitere Nationen geschickt. Dabei handelt es sich um Bulgarien, Tschechien, Dänemark, Estland, Irland, Spanien, Frankreich, Zypern, Lettland, Luxemburg, Ungarn, die Niederlande, Österreich, Polen, Portugal, Slowenien, Finnland und Schweden.
Die vollständige Umsetzung der einschlägigen Rechtsvorschriften sei "von entscheidender Bedeutung für die weitere Verbesserung der Widerstandsfähigkeit und der Reaktionsfähigkeit auf Zwischenfälle" der in den Kritis-Sektoren tätigen öffentlichen und privaten Unternehmen sowie der EU insgesamt, mahnt die Kommission. Die angeschriebenen 19 EU-Staaten haben nun zwei Monate Zeit, um zu reagieren und die notwendigen Maßnahmen zu ergreifen. Andernfalls droht die Exekutivinstanz damit, die Fälle an den Europäischen Gerichtshof zu verweisen. Dieser könnte dann etwa Bußgelder verhängen.
SPD und Grüne konnten sich erst nach dem Ampel-Aus im Dezember auf einen Gesetzentwurf zur NIS2-Umsetzung und zur Einführung eines Schwachstellenmanagements zum Schließen von IT-Sicherheitslücken einigen. Verwaltungen der Länder und der Kommunen sollten demnach nicht von den verschärften Cybersicherheitsvorgaben ausgenommen und der Umgang mit "kritischen Komponenten" in Kritis-Bereichen verschärft werden. Ende Januar gaben die zuständigen Berichterstatter aber wegen erneut aufgetretener unüberbrückbarer Differenzen auf, vor allem mit der FDP.
Die neue schwarz-rote Koalition hat in ihrem Fahrplan für die nächsten Jahre festgehalten: "Wir werden im Rahmen der Umsetzung der NIS-2-Richtlinie das BSI-Gesetz novellieren." Experten mahnen, dass potenziell betroffene Firmen und Behörden trotz der Verzögerungen bereits aktiv werden sollten.
(
Kommentare