NIS-2 in Deutschland: Umsetzungsfrist verstrichen, Gesetz bleibt im Verfahren
Die EU-Frist zur nationalen Umsetzung ist am 17. Oktober 2024 abgelaufen. Das deutsche NIS2UmsuCG hat den Bundestag bis dahin nicht passiert. Was das für Durchsetzung und Vorbereitung heißt.
Inhalt dieses Beitrags
Was ist neu
Die EU-Frist zur nationalen Umsetzung der NIS-2-Richtlinie (EU-Richtlinie zur Cybersicherheit wesentlicher und wichtiger Einrichtungen) ist am 17. Oktober 2024 verstrichen. Das deutsche NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) hat den Bundestag bis zum Stichtag nicht passiert; die Verabschiedung verzögerte sich in der Folge wiederholt über das Jahr 2025 hinaus. Die EU-Kommission hat gegen Deutschland und 22 weitere Mitgliedstaaten ein Vertragsverletzungsverfahren eingeleitet (Verfahren der EU gegen einen Mitgliedstaat, der EU-Recht nicht fristgerecht umsetzt).
Für wen ist das? Für Verantwortliche, die auf die deutsche NIS-2-Umsetzung warten.
Was sich praktisch ändert
Die Richtlinie selbst entfaltet in der Übergangszeit unmittelbare Wirkung gegenüber dem Staat, aber nicht zwischen Privaten. Bußgelder gegen Unternehmen sind national erst nach Inkrafttreten des NIS2UmsuCG durchsetzbar. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat klargestellt, dass die Umsetzung beim Anwendungsbeginn erwartet wird; wer wartet, geht in Rückstand. Die inhaltlichen Pflichten aus Art. 21 (Risikomanagement, Meldewege, Governance) sind stabil und ändern sich durch die Verzögerung nicht.
Einordnung
Unser Hauptartikel NIS-2 kompakt hatte die 17.10.2024-Frist genannt; die Verzögerung verschiebt das Durchsetzungs-Fenster, nicht die Pflichten. Empfehlung: jetzt die technischen Maßnahmen aus Art. 21 vorbereiten, damit der eigentliche Stichtag kein Überraschungsereignis wird. Wer für wesentliche Einrichtungen zuliefert, wird ohnehin bereits heute vertraglich in die NIS-2-Pflichten seiner Kunden eingefangen, unabhängig davon, ob das nationale Gesetz in Kraft ist.
Häufige Fragen
Bin ich von der Verzögerung betroffen, wenn meine Firma unter NIS-2 fällt?
Die Verzögerung verschiebt nur, ab wann nationale Bußgelder durchsetzbar sind, nicht die inhaltlichen Pflichten aus Artikel 21. Wer in den Anwendungsbereich fällt, sollte die geforderten Maßnahmen zum Risikomanagement, zu Meldewegen und zur Governance schon jetzt aufbauen, weil die Behörde die Umsetzung mit Anwendungsbeginn erwartet.
Drohen mir schon jetzt Sanktionen, obwohl das deutsche Gesetz fehlt?
Direkte Bußgelder gegen private Unternehmen setzen das nationale Umsetzungsgesetz voraus und sind ohne dieses nicht durchsetzbar. Mittelbarer Druck entsteht aber bereits jetzt über Verträge: Wer wesentliche oder wichtige Einrichtungen beliefert, wird über deren Lieferketten-Anforderungen schon heute zu NIS-2-konformem Verhalten verpflichtet.