NIS-2-Update für Europa (März 2025)

Mit der Network and Information Security Directive 2.0 (NIS-2-Richtlinie) hat die EU neue Standards im Bereich der Cybersicherheit gesetzt. Um das digitale Europa zu schützen, sollten die Mitgliedstaaten die NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Doch dieses Ziel wurde in vielen Mitgliedsstaaten verfehlt, die EU Kommission wird Vertragsverletzungsverfahren gegen 23 Mitgliedstaaten einleiten.

Was hat sich seit der Ankündigung der Europäischen Kommission in Deutschland und den anderen europäischen Mitgliedsstaaten getan? Sie finden in dem LexMundi NIS2-Tracker immer aktuelle Informationen für ganz Europa!

Fortschritte und Verzögerungen – Die Umsetzung der NIS-2-Richtlinie in Europa

Schon etwas länger haben Belgien, Italien, Kroatien und Litauen die NIS-2-Richtlinie fristgerecht umgesetzt.

Die gute Nachricht: Seit der Pressemitteilung der Europäischen Kommission hat sich einiges getan. In allen europäischen Mitgliedsstaaten laufen die Gesetzgebungsverfahren. Griechenland, Lettland, Rumänien, Slowakei und Ungarn haben es inzwischen geschafft, die NIS-2-Richtlinie (weitgehend) umzusetzen.

Es gibt aber auch weiterhin einige Nachzügler. Während in Finnland, Polen, Slowenien und Zypern berechtigte Hoffnung auf eine Umsetzung noch im ersten oder zweiten Quartal dieses Jahres besteht, ist in Dänemark, Estland, Niederlande, Österreich, Schweden und Tschechien erst im Sommer bzw. Herbst 2025 mit einer vollständigen Umsetzung zu rechnen.

Noch später scheint es in Bulgarien, Frankreich, Irland, Luxemburg, Malta, Portugal und Spanien zu werden. Wann in diesen Ländern mit einer Umsetzung der NIS-2-Richtlinie zu rechnen ist, ist derzeit völlig offen.

Trotz positiver Entwicklungen ist es also noch ein weiter Weg bis zur flächendeckenden Umsetzung der NIS-2-Richtlinie in der gesamten EU.

Politische Turbulenzen bremsen: Auch die deutsche NIS-2-Umsetzung stockt

Auch Deutschland gehört zu den Nachzüglern. In Deutschland plante die Ampelkoalition die Umsetzung der Richtlinie im Rahmen des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (siehe etwa hier).

Nach der ersten Lesung am 11. Oktober 2024 wurde der Gesetzentwurf der Bundesregierung zwar noch zur Beratung an den Innenausschuss überwiesen. Inzwischen ist jedoch klar, dass eine Verabschiedung des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz sich nochmal verzögert. Nach dem Ende der Ampelkoalition hat sich keine politische Mehrheit für das Gesetz gefunden. Experten rechnen derzeit mit einer Umsetzung der NIS-2-Richtlinie erst unter einer neuen Bundesregierung im Herbst oder Winter 2025 – womit Deutschland europaweit Schlusslicht bei der nationalen Umsetzung wäre. Aktuell verdichten sich jedoch die Hinweise, dass das Bundesinnenministerium an einem sogenannten „100-Tage-Plan“ arbeitet, der auch das Thema Cybersicherheit und die NIS-2-Umsetzung umfasst. Nach dem Scheitern in der vergangenen Legislaturperiode soll das Vorhaben nun deutlich beschleunigt werden. Dem Vernehmen nach strebt das Innenressort an, das Gesetzgebungsverfahren bereits in den ersten Monaten nach Bildung der neuen Regierung abzuschließen. Damit könnte auch der bislang diskutierte Zeitplan mit einer Verabschiedung erst im Herbst/Winter 2025 hinfällig werden. Wir halten Sie hierzu auf dem Laufenden.