Die Umsetzung der NIS2-Richtlinie in Europa: Ein Flickenteppich der Cybersecurity-Gesetzgebung
Die NIS2-Richtlinie, deren Ziel es ist, das Cybersicherheitsniveau in der EU zu verbessern, sollte bis zum 17. Oktober 2024 von allen Mitgliedstaaten in nationales Recht überführt werden. Es zeigt sich, wie so oft bei EU-weiten Regulierungen, ein uneinheitliches Bild. So haben einige Länder haben ihre Gesetze bereits verabschiedet haben, andere stecken andere noch mitten im Gesetzgebungsprozess.
Vorreiter bei der Umsetzung
Einige Länder haben die Richtlinie bereits in nationales Recht überführt und damit die Grundlage für eine verbesserte Cybersicherheitsstrategie geschaffen. In diesen Staaten sind die neuen Sicherheitsanforderungen bereits verbindlich und Unternehmen müssen sich an die neuen Regelungen halten:
- Belgien
Die Umsetzung wurde im April 2024 verabschiedet und trat im Oktober in Kraft.
https://www.ejustice.just.fgov.be/cgi/article.pl?language=fr&sum_date=2024-05-17&lg_txt=f&caller=sum&s_editie=1&2024202344=4&numac_search=2024202344&view_numac=2024202344f - Kroatien
Die NIS2-Richtlinie wurde am 15. Februar 2024 in nationales Recht überführt.
https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html - Griechenland
Das Gesetz 5160/2024 zur Umsetzung von NIS2 trat am 27. November 2024 in Kraft.
Νόμος 5160/2024 – ΦΕΚ Α 195/27.11.2024 - Ungarn
Die Umsetzung erfolgte mit dem „Cybersecurity Act“, der am 23. Mai 2023 verabschiedet wurde.
https://njt.hu/jogszabaly/en/2023-23-00-00 - Italien
Die Umsetzung erfolgte durch das Gesetzesdekret Nr. 138/2024, das am 1. Oktober 2024 veröffentlicht wurde.
https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG - Lettland
Das nationale Cybersecurity-Gesetz trat am 1. September 2024 in Kraft.
https://titania.saeima.lv/LIVS14/saeimalivs14.nsf/0/0ED799CB5B0BDE64C2258B4D0039D5CD?OpenDocument - Litauen
Das geänderte Cybersecurity-Gesetz wurde am 18. Oktober 2024 in Kraft gesetzt.
https://e-seimas.lrs.lt/portal/legalAct/lt/TAP/90d948a02e3811efb121d2fe3a0eff27?jfwid=ad7biqq05 - Rumänien
Die Umsetzung wurde durch die Notverordnung Nr. 155/2024 am 1. Januar 2025 abgeschlossen.
https://dnsc.ro/vezi/document/oug-privind-transpunerea-directivei-nis-2 - Slowakei
Die nationale Umsetzung erfolgte mit Inkrafttreten des Cybersicherheitsgesetzes am 1. Januar 2025.
https://nis2.nbu.gov.sk/co-priniesla-nis2/?csrt=12712502103293112492
Länder auf der Zielgeraden
Andere EU-Staaten sind bereits auf der Zielgrade und haben die Umsetzung der Richtlinie zwar noch nicht abgeschlossen, befinden sich aber in einem fortgeschrittenen Stadium der Gesetzgebung. Es ist davon auszugehen, dass die NIS2-Richtlinie in diesen Staaten spätestens 2025 vollständig umgesetzt wird.
- Österreich
Der Gesetzesentwurf wurde im April 2024 vorgestellt, jedoch im Juli 2024 abgelehnt.
https://www.parlament.gv.at/aktuelles/pk/jahr_2024/pk0785#XXVII_NRSITZ_00270 - Bulgarien
Die Umsetzung wurde im September 2024 eingeleitet, aber durch die Parlamentsauflösung verzögert.
НАЦИОНАЛНА СТРАТЕГИЯ ЗА КИБЕР СИГУРНОСТТА - Zypern
Ein Gesetzesentwurf zur Anpassung des bestehenden Netzwerksicherheitsgesetzes liegt vor.
https://dsa.cy/images/pdf-upload/proposed-updated-dsa-law-for-nis2.pdf - Tschechien
Das Gesetz wurde am 17. Juli 2024 von der Regierung verabschiedet und befindet sich in der parlamentarischen Prüfung.
https://odok.cz/portal/services/download/attachment/ALBSD7FGWBLS/ - Dänemark
Die Gesetzgebung läuft, die Umsetzung wird spätestens bis Juli 2025 erwartet.
https://hoeringsportalen.dk/Hearing/Details/68921 - Finnland
Der Entwurf zur Umsetzung wurde im Mai 2024 eingereicht und soll 2025 in Kraft treten.
https://www.eduskunta.fi/FI/vaski/KasittelytiedotValtiopaivaasia/Sivut/HE_57+2024.aspx - Frankreich
Die Umsetzung wird durch politische Widerstände verzögert, ein Gesetzesentwurf liegt vor.
La directive NIS 2 | ANSSI - Irland
Der Entwurf für das nationale Cybersecurity-Gesetz wurde im August 2024 eingereicht.
https://www.gov.ie/en/publication/229af-general-scheme-of-the-national-cyber-security-bill-2024/? - Luxemburg
Die Gesetzgebung ist weit fortgeschritten, eine Verabschiedung wird für 2025 erwartet.
https://www.chd.lu/fr/dossier/8364 - Malta
Ein Gesetzentwurf wurde im September 2024 veröffentlicht, die Umsetzung wird Anfang 2025 erwartet.
Leġiżlazzjoni – Malta CIP - Niederlande
Das „Cybersecurity Act“ befindet sich in der parlamentarischen Phase, in Kraft treten soll es bis Ende 2025.
https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie - Polen
Die Gesetzgebung wurde seit April 2024 mehrfach überarbeitet und soll Mitte 2025 verabschiedet werden.
https://mc.bip.gov.pl/projekty-aktow-prawnych-mc/902927_projekt-ustawy-o-zmianie-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-oraz-niektorych-innych-ustaw.html - Portugal
Die öffentliche Konsultation zur Umsetzung wurde im Dezember 2024 abgeschlossen, das Gesetz ist noch in Bearbeitung.
CNCS – Diretiva SRI 2 (NIS 2) - Slowenien
Die Umsetzung wurde im Februar 2024 angekündigt, die endgültige Verabschiedung wird 2025 erwartet.
https://e-uprava.gov.si/si/drzava-in-druzba/e-demokracija/predlogi-predpisov/predlog-predpisa.html?id=16290 - Schweden
Die Umsetzung wird voraussichtlich im Sommer 2025 abgeschlossen.
https://www.regeringen.se/rattsliga-dokument/statens-offentliga-utredningar/2024/03/sou-202418/
Bremsklötze und unklare Perspektiven
Besonders problematisch gestaltet sich die Situation in Deutschland und Spanien.
- Deutschland
In Deutschland wurden bereits mehrere Gesetzesentwürfe zur Umsetzung der NIS2 Richtlinie veröffentlicht, jedoch verzögert sich der Prozess aktuell erheblich. Hauptgründe hierfür sind sind die politischen Umstrukturierungen durch den Regierungswechsel und Streitigkeiten zwischen Bund und Ländern über die genaue Ausgestaltung der Umsetzung. Eine Umsetzung wird frühestens im Herbst 2025 erwartet.
BSI – NIS-2-regulierte Unternehmen - Spanien
Auch in Spanien gibt bislang kaum konkrete Fortschritte. So ist weder ein offizieller Gesetzesentwurf noch eine nennenswerte öffentliche Diskussionen bekannt. Deshalb bleibt ungewiss, wann und wie die NIS2-Richtlinie dort implementiert wird.
NIS2 Directive – Centro Criptológico Nacional – CNI
Ein Flickenteppich der Cybersicherheit
Die ungleiche Umsetzung der NIS2-Richtlinie zeigt einmal mehr, dass es keinen einheitlichen Weg zur Cybersicherheit gibt. Während einige Länder die neuen Standards zügig integriert haben, kämpfen andere noch mit internen Herausforderungen. Die Folge ist eine uneinheitliche Sicherheitslandschaft in der EU, die Unternehmen vor Herausforderungen stellt und den angestrebten einheitlichen Schutz digitaler Infrastrukturen erschwert.
Es bleibt spannend zu beobachten, wie sich die verschiedenen Ansätze auf die Sicherheit und Wettbewerbsfähigkeit in Europa auswirken werden. Für Unternehmen bedeutet dies, sich jetzt mit den jeweiligen nationalen Anforderungen auseinanderzusetzen, um rechtzeitig die erforderlichen Sicherheitsmaßnahmen zu implementieren. Die Cybersicherheit bleibt damit ein dynamisches und hochrelevantes Thema, das auch in den kommenden Jahren die digitale Landschaft Europas prägen wird.