Eine große Mehrheit der EU-Mitgliedstaaten hat die Frist zur Umsetzung der neuen Cybersicherheitsrichtlinie NIS2 verpasst. Die Richtlinie, die 2022 verabschiedet wurde, soll den Schutz kritischer Infrastrukturen wie Energie, Transport, Banken und Wasserversorgung gegen Cyberangriffe verbessern. Trotz der verbindlichen Frist sind bisher nur Belgien und Kroatien im vollen Umfang konform, während Italien und Litauen bisher nur teilweise die Anforderungen der Richtlinie umgesetzt haben.
Stand der Umsetzung in verschiedenen Ländern
| Land | Stand der Umsetzung | Weitere Schritte |
|---|---|---|
| Belgien | Vollständig | Keine zusätzlichen Maßnahmen nötig |
| Kroatien | Vollständig | Keine zusätzlichen Maßnahmen nötig |
| Italien | Teilweise | Vollständige Umsetzung ausstehend |
| Litauen | Teilweise | Vollständige Umsetzung ausstehend |
| Deutschland | Entwurf vorhanden | Verabschiedung des Gesetzes |
| Niederlande | Entwurf vorhanden | Verabschiedung des Gesetzes |
| Schweden | Entwurf vorhanden | Verabschiedung des Gesetzes |
| Tschechien | Entwurf vorhanden | Verabschiedung des Gesetzes |
| Irland | Noch nicht begonnen | Umsetzung erforderlich |
| Griechenland | Noch nicht begonnen | Umsetzung erforderlich |
| Spanien | Noch nicht begonnen | Umsetzung erforderlich |
Die Verzögerung bei der Umsetzung der NIS2-Richtlinie führt zu wachsender Sorge innerhalb der kritischen Sektoren und bei Cybersicherheitsexperten, da Unternehmen dadurch anfälliger für Cybervorfälle bleiben. NIS2 zielt darauf ab, die Schwächen der vorherigen Richtlinie NIS1 zu beheben, die laut der Europäischen Kommission die Cyberabwehrfähigkeit der Unternehmen nicht signifikant verbessern konnte. Zudem wird erwartet, dass die neue Richtlinie einheitlichere Standards und eine verbesserte Zusammenarbeit zwischen den Mitgliedstaaten fördert.
Erweiterter Schutzumfang der NIS2
Im Gegensatz zur NIS1, die nur etwa 500 Unternehmen erfasste, gilt die NIS2-Richtlinie nun für über 15.000 Unternehmen in der gesamten EU, darunter kleine und mittlere Unternehmen (KMU) in Lieferketten von größeren Unternehmen. Dieses breitere Spektrum führt jedoch auch zu Bedenken hinsichtlich der Umsetzbarkeit und Konsistenz der Richtlinie in den verschiedenen Mitgliedstaaten. Besonders die Länder, die ihre Umsetzung bisher noch nicht begonnen haben, könnten vor erhebliche administrative und finanzielle Herausforderungen gestellt werden.
Herausforderungen und Kritik seitens der Unternehmen
Einige Länder, wie Frankreich, äußerten Bedenken hinsichtlich des Bewusstseinsgrades innerhalb der Unternehmen, die jetzt von den Vorschriften betroffen sind. Unternehmen beklagen sich über die Fragmentierung der Regelungen sowie über die Herausforderungen, die die Einhaltung für diejenigen darstellt, die auf mehreren Märkten tätig sind. Die europäische Wasserwirtschaftsorganisation EurEau, die nationale Wasserdienstleister in Europa vertritt, teilte mit, dass die Verzögerungen in der Umsetzung der NIS2-Richtlinie bestimmte Risiken bergen. Oliver Loebel, Generalsekretär von EurEau, erklärte, dass es in vielen Ländern unklar bleibt, welche Wasserbetreiber von der Richtlinie betroffen sein werden. Diese Unklarheit könnte erhebliche Unterschiede in der Umsetzung zwischen den Mitgliedstaaten verursachen, was eine konsistente Sicherheitslage weiter erschwert.
Loebel betonte auch, dass insbesondere kleinere Betreiber möglicherweise Schwierigkeiten haben werden, die erforderlichen Maßnahmen umzusetzen, da ihnen sowohl finanzielle Mittel als auch Zugang zu Cybersicherheitsexperten fehlen. Um die umfassenden Schutzmaßnahmen zu verwirklichen, könnte finanzielle Unterstützung nötig sein, die jedoch keineswegs garantiert ist.
Strengere Berichterstattungsanforderungen und Sanktionen
Die NIS2-Richtlinie sieht neue Fristen für die Meldung von Sicherheitsvorfällen vor. Unternehmen müssen binnen 24 Stunden eine erste Warnung abgeben und binnen 72 Stunden einen vollständigen Bericht über den Vorfall vorlegen. Diese Verschärfung der Meldepflichten soll eine schnellere Reaktion auf Cybervorfälle ermöglichen und den Informationsfluss innerhalb der EU verbessern.
Zusätzlich sieht die Richtlinie hohe Sanktionen für Verstöße vor. Unternehmen, die die Anforderungen nicht einhalten, können mit Geldstrafen von bis zu 10 Millionen Euro oder 2 % ihres weltweiten Jahresumsatzes bestraft werden. Diese verschärften Strafen sollen Unternehmen dazu anregen, Cybersicherheitsmaßnahmen ernst zu nehmen. Darüber hinaus könnten leitende Angestellte persönlich zur Verantwortung gezogen werden, wenn Sicherheitsmängel durch Fahrlässigkeit verursacht werden. Damit trägt das Management eine größere Verantwortung, die über die IT-Abteilungen hinausgeht.
Ausblick und weitere Maßnahmen der EU-Kommission
Vertreter der Software-Lobbygruppe BSA sowie die Europäische Allianz für kleine und mittelständische Unternehmen (KMU) äußerten ebenfalls ihre Besorgnis über die mangelnde Kohärenz in den Umsetzungsfristen und Meldepflichten innerhalb Europas. BSA betonte, dass die EU-Kommission bis heute keine Durchführungsverordnung für das „Incident Reporting“ veröffentlicht hat, einen wesentlichen Bestandteil der NIS2-Richtlinie. Diese fehlende Klarheit erschwert es Unternehmen, die Erwartungen an sie vollständig zu verstehen, während der Compliance-Zeitraum schnell abläuft.
Die EU-Kommission hat die Mitgliedstaaten aufgefordert, ihre Umsetzung zu beschleunigen und harmonisierte Standards zu schaffen, die es Unternehmen erleichtern, die neuen Anforderungen zu erfüllen. Mit der NIS2-Richtlinie hofft die EU, die Abwehrfähigkeit gegen zunehmende Cyberbedrohungen zu stärken und eine sicherere digitale Infrastruktur in der gesamten Union zu gewährleisten.
