Cybersicherheit und Resilienz kritischer Einrichtungen: Vertragsverletzungsverfahren u.a. gegen Deutschland

Die EU-Kommission hat ein Vertragsverletzungsverfahren gegen Deutschland und weitere 22 Mitgliedstaaten eingeleitet, weil sie die NIS-2-Richtlinie zur Cybersicherheit nicht vollständig umgesetzt haben. In einem weiteren Fall geht es um die Umsetzung der Richtlinie über die Resilienz kritischer Einrichtungen („CER-Richtlinie“). Hier hat die Kommission Deutschland und weitere 23 Mitgliedstaaten aufgefordert, die vereinbarten Vorschriften zum Schutz kritischer Infrastrukturen umzusetzen. Die betreffenden Mitgliedstaaten haben nun zwei Monate Zeit, um auf die Aufforderungsschreiben zu antworten.

Kommission fordert 23 Mitgliedstaaten zur vollständigen Umsetzung der NIS-2-Richtlinie auf 

Die Europäische Kommission hat beschlossen, mit der Übermittlung von Aufforderungsschreiben Vertragsverletzungsverfahren gegen 23 Mitgliedstaaten (Bulgarien, Tschechien, Dänemark, Deutschland, Estland, Irland, Griechenland, Spanien, Frankreich, Zypern, Lettland, Luxemburg, Ungarn, Malta, die Niederlande, Österreich, Polen, Portugal, Rumänien, Slowenien, die Slowakei, Finnland und Schweden) einzuleiten, weil diese Länder die NIS-2-Richtlinie (Richtlinie 2022/2555) nicht vollständig umgesetzt haben. Die Mitgliedstaaten mussten die NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Mit der NIS-2-Richtlinie soll ein hohes Cybersicherheitsniveau in der gesamten EU sichergestellt werden. Sie gilt für Einrichtungen in wesentlichen Sektoren wie öffentlichen elektronischen Kommunikationsdiensten, IKT-Verwaltungsdiensten und digitalen Diensten, aber auch in den Bereichen Abwasser- und Abfallbewirtschaftung, Raumfahrt, Gesundheit, Energie, Verkehr, Herstellung kritischer Produkte, Post- und Kurierdienste und öffentliche Verwaltung. Die vollständige Umsetzung der Richtlinie ist von zentraler Bedeutung für die weitere Verbesserung der Resilienz und der Kapazitäten der in diesen Bereichen tätigen öffentlichen und privaten Einrichtungen sowie der EU als Ganzes, auf Sicherheitsvorfälle zu reagieren.

Die Kommission übermittelt daher Aufforderungsschreiben an die 23 Mitgliedstaaten. Sie müssen nun binnen zwei Monaten antworten, die Umsetzung der Richtlinie abschließen und der Kommission die entsprechenden Maßnahmen mitteilen. Andernfalls kann die Kommission beschließen, mit Gründen versehene Stellungnahmen an diese Länder zu richten.

Kommission fordert die Mitgliedstaaten auf, die vereinbarten Vorschriften zum Schutz kritischer Infrastrukturen und zur Resilienz kritischer Einrichtungen umzusetzen 

Die Europäische Kommission hat beschlossen, mit der Übermittlung von Aufforderungsschreiben Vertragsverletzungsverfahren gegen 24 Mitgliedstaaten einzuleiten, weil diese Länder keine nationalen Maßnahmen zur Umsetzung der Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen („CER-Richtlinie“) mitgeteilt haben. Die Frist für die Umsetzung endete am 17. Oktober 2024. Mit der CER-Richtlinie wird die Richtlinie 2008/114/EG des Rates

über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern, aufgehoben. Der Ansatz der neuen Richtlinie verlagert den Schwerpunkt vom Schutz kritischer Infrastrukturen hin zur Stärkung der Resilienz von Einrichtungen, die diese Infrastrukturen betreiben. Gleichzeitig wird der Anwendungsbereich von zwei auf elf Sektoren ausgeweitet. Die Richtlinie gewährleistet die Bereitstellung wichtiger Dienstleistungen in zentralen Bereichen für unsere Gesellschaft und unsere Wirtschaft, wie Energie, Verkehr, Gesundheit, Wasser, Banken und digitalen Infrastrukturen, indem die Resilienz kritischer Infrastrukturen und kritischer Einrichtungen gegen eine Reihe von Bedrohungen wie Naturkatastrophen, Terroranschläge, Insider-Bedrohungen oder Sabotage gestärkt wird. Belgien, Bulgarien, Tschechien, Dänemark, Deutschland, Griechenland, Spanien, Frankreich, Kroatien, Zypern, Lettland, Litauen, Luxemburg, Ungarn, Malta, die Niederlande, Österreich, Polen, Portugal, Rumänien, Slowenien, die Slowakei, Finnland und Schweden haben der Kommission bis Ablauf der Frist am 17. Oktober 2024 keine nationalen Maßnahmen zur Umsetzung dieser Richtlinie mitgeteilt.

Die Kommission übermittelt daher Aufforderungsschreiben an die fraglichen Mitgliedstaaten, die nun binnen zwei Monaten antworten, die Umsetzung der Richtlinie abschließen und der Kommission die entsprechenden Maßnahmen mitteilen müssen. Andernfalls kann die Kommission beschließen, mit Gründen versehene Stellungnahmen an diese Länder zu richten. 

Hintergrund

Die Europäische Kommission leitet regelmäßig rechtliche Schritte gegen Mitgliedstaaten ein, die ihren Verpflichtungen aus dem EU-Recht nicht nachkommen. Mit diesen Verfahren, die verschiedene Sektoren und EU-Politikfelder betreffen, soll eine korrekte und vollständige Anwendung des EU-Rechts im Interesse der Bürgerinnen und Bürger und der Unternehmen gewährleistet werden.

Quelle: EU-Kommission