28.11.2024

Cybersicherheit und Resilienz kritischer Einrichtungen: EU-Vertragsverletzungsverfahren gegen Deutschland

Die EU-Kommission hat ein Vertragsverletzungsverfahren gegen Deutschland und weitere 22 Mitgliedstaaten eingeleitet, weil sie die NIS-2-Richtlinie zur Cybersicherheit nicht vollständig umgesetzt haben. In einem weiteren Fall geht es um die Umsetzung der Richtlinie über die Resilienz kritischer Einrichtungen („CER-Richtlinie“). Hier hat die Kommission Deutschland und weitere 23 Mitgliedstaaten aufgefordert, die vereinbarten Vorschriften zum Schutz kritischer Infrastrukturen umzusetzen. Die betreffenden Mitgliedstaaten haben zwei Monate Zeit, um auf die Aufforderungsschreiben zu antworten.

Die Mitgliedstaaten mussten die NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Mit der NIS-2-Richtlinie soll ein hohes Cybersicherheitsniveau in der gesamten EU sichergestellt werden. Sie gilt für Einrichtungen in wesentlichen Sektoren wie öffentlichen elektronischen Kommunikationsdiensten, aber auch in den Bereichen Abwasser- und Abfallbewirtschaftung und öffentliche Verwaltung.

Die Frist für die Umsetzung der CER-Richtlinie endete ebenfalls am 17. Oktober 2024. Der Ansatz dieser Richtlinie verlagert den Schwerpunkt vom Schutz kritischer Infrastrukturen hin zur Stärkung der Resilienz von Einrichtungen, die diese Infrastrukturen betreiben. Gleichzeitig wird der Anwendungsbereich von zwei auf elf Sektoren ausgeweitet, darunter Wasser.