HOME
NEWS
Kritische Infrastrukturen: Keine Umsetzung der NIS-2- und CER-Richtlinie noch vor der Bundestagswahl

Kritische Infrastrukturen: Keine Umsetzung der NIS-2- und CER-Richtlinie noch vor der Bundestagswahl

Feb 5, 2025

Die Umsetzung der Richtlinien (EU) 2022/2555 (NIS-2-Richtlinie) und (EU) 2022/2557 (CER-Richtlinie) ist in Deutschland vorerst gescheitert. Wie nun bekannt geworden ist, konnten sich die bisherigen Ampel-Koalitionäre nach dem Bruch der Regierung nicht mehr auf eine Umsetzung der Richtlinien in das deutsche Recht einigen. Unternehmen sollten ungeachtet dessen prüfen, ob sie von den Umsetzungsgesetzen voraussichtlich betroffen sein werden und die Implementierung der damit einhergehenden Pflichten vorbereiten.‍

Was regeln die Richtlinien?

Gegenstand der NIS-2- und der CER-Richtlinie ist die Schaffung eines EU-weit einheitlichen Schutzniveaus im Hinblick auf die Sicherheit kritischer Infrastrukturen unter anderem in den Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur und Raumfahrt.

Mit der NIS-2-Richtlinie sollen betroffene Unternehmen zur Einhaltung eines hohen Cybersicherheitsniveaus verpflichtet werden. Der Anwendungsbereich ist deutlich weiter als beider Vorgängerrichtlinie (EU) 2016/1148 (NIS-1-Richtlinie), sodass zahlreiche Unternehmen erstmals von konkreten Cybersicherheitspflichten betroffen sein werden. Zudem gehen die Verpflichtungen weiter als unter der NIS-1-Richtlinie. Insbesondere sollen Unternehmen verpflichtet werden, auch innerhalb ihrer Lieferkette die Sicherheit zu prüfen und durch geeignete Maßnahmen zu gewährleisten.

In der CER-Richtlinie geht es hingegen um die Steigerung der physischen Resilienz kritischer Infrastrukturen vor dem Hintergrund hybrider Bedrohungen, Naturkatastrophen und durch den Klimawandel bedingter Wetterextreme. Betroffene Unternehmen sollen zur Ergreifung verschiedener Maßnahmen verpflichtet werden, um die physische Resilienz kritischer Einrichtungen sicherzustellen. Zu den in einem Resilienz-Plan zusammenzufassenden Maßnahmen gehören Präventionsmaßnahmen, die physische Absicherung, Krisenmanagementsysteme, Wiederherstellungsmaßnahmen, mitarbeiterbezogenes Sicherheitsmanagement sowie Sensibilisierungsmaßnahmen.

Umsetzung in deutsches Recht vorerst gescheitert

Die Richtlinien gelten nicht unmittelbar, sondern sind zunächst von den EU-Mitgliedstaaten in nationales Recht umzusetzen. Die hierfür vorgesehene Frist (17. Oktober 2024) ist bereits verstrichen.

In Deutschland sollte die CER-Richtlinie durch das KRITIS-Dachgesetz und die NIS-2-Richtlinie durch das gleichlautende Umsetzungsgesetz in das deutsche Recht umgesetzt werden. Unter der Federführung des Bundesministeriums des Innern und für Heimat (BMI) hatten die Verhandlungsführer von SPD, BÜNDNIS 90/DIE GRÜNEN und FDP die Regierungsentwürfe beraten, zunächst auch nach dem Aus der Regierung im November 2024. Allerdings kam es zu keiner Einigung, sodass es Aufgabe einer neuen Bundesregierung sein wird, die notwendigen Gesetze zu erarbeiten und durch das Gesetzgebungsverfahren zu bringen.

Das sollten Unternehmen jetzt tun

Wenngleich die Umsetzung der NIS-2-Richtlinie sowie der CER-Richtlinie in dieser Legislaturperiode gescheitert ist, darf nicht zuletzt wegen eines möglichen Vertragsverletzungsverfahrens gegen Deutschland davon ausgegangen werden, dass die nächste Bundesregierung die Richtlinien möglichst zeitnah in nationales Recht umsetzen wird.

Auch wenn die Umsetzung der Richtlinien vorerst zum Stillstand gekommen ist, sollten die betroffenen Unternehmen die Zeit nicht ungenutzt lassen und sich auf die zu erwartenden Regelungen einstellen. Anhand der Richtlinienvorgaben können bereits gewisse Anforderungen an die Unternehmen antizipiert und deren Umsetzung vorbereitet werden.

Unternehmen, die sich bislang nicht mit den voraussichtlichen Auswirkungen der neuen Regelungen beschäftigt haben, sollten zeitnah zunächst auf Grundlage der Richtlinien prüfen, ob sie in den Anwendungsbereich der Richtlinien fallen. Ist dies der Fall, wäre eine Risikoanalyse durchzuführen und zu prüfen, inwieweit bestehende IT- und physische Sicherheitsmaßnahmen verstärkt werden müssen. Auch bietet es sich an, bereits zu diesem Zeitpunkt mit der Erarbeitung oder Anpassung unternehmensinterner Richtlinien zu beginnen, in denen unter anderem Zuständigkeiten verteilt und Prozesse definiert werden, die der Umsetzung der in den nationalen Umsetzungsrechtsakten voraussichtlich enthaltenen Pflichten dienen.

ZURÜCK Zur Übersicht
Marian
Niestedt, M.E.S.
Rechtsanwalt | Geschäftsführer
+49 40 22899 22 0
m.niestedt@cattwyk.com
Kahraman
Altun, LL.M.
Rechtsanwalt | Associate
+49 40 22899 22 0
k.altun@cattwyk.com
Weitere News
Anpassungen des Meldewesens (AWV-Meldungen) in Kraft getreten
Wichtige Änderungen des Meldewesens (§§ 63 ff. AWV) seit 1. Januar 2025.
Jan 8, 2025
Art. 8a des Russland-Embargos: Pflichten von EU-Unternehmen bzgl. ihrer Nicht-EU-Tochtergesellschaften
Weite Auslegung des Anwendungsbereichs von Art. 8a
Jan 1, 2025
Endverbleibsdokumente: Neue Anforderungen und Formularmuster
Neue Anforderungen und Formularmuster für Endverbleibsdokumente
Jan 10, 2025
EU-Verordnung über Verbot der Zwangsarbeit in Kraft getreten
EU-Verordnung über Verbot der Zwangsarbeit in Kraft getreten.
Jan 22, 2025
Neue Allgemeine Genehmigungen erleichtern Exporte von Rüstungs- und Dual-Use-Gütern
Neue Allgemeine Genehmigungen erleichtern Exporte von Rüstungs- und Dual-Use-Gütern
Jan 15, 2025
Zuständigkeitswechsel: EuG entscheidet zukünftig in Verbrauchsteuer- und Zollsachen
EuG statt EuGH für Zollkodex, Zollnomenklatur und Verbrauchsteuern zuständig
Jan 1, 2025
Cattwyk
Rechtsanwaltsgesellschaft
mbH & Co. KG
Hohe Bleichen 8
20354 Hamburg
Rue d'Arlon 25
B-1050 Brüssel
T +49 40 22899 22 0
F +49 40 22899 22 66
info@cattwyk.com
THEMENTrade ComplianceEconomic SecuritySustainabilityLeistungenTeamNewsKarriere
Kontakt

Get in Touch
© 2024 Cattwyk
IMPRESSUMDATENSCHUTZ
Close Cookie Popup
Einwilligung zu Cookies 
& Datenverarbeitung
Diese Website nutzt Cookies und vergleichbare Funktionen zur Verarbeitung von Endgeräteinformationen und personenbezogenen Daten. Die Verarbeitung dient der Einbindung von Inhalten, externen Diensten und Elementen Dritter, der statistischen Analyse/Messung, der personalisierten Werbung oder des Remarketings sowie der Einbindung sozialer Medien. Je nach Funktion werden dabei Daten an Dritte weitergegeben innerhalb der EU. Ihre Einwilligung ist stets freiwillig, für die Nutzung unserer Website nicht erforderlich und kann jederzeit über das Icon unten links abgelehnt oder widerrufen werden. In unserer Datenschutzerklärung sind die notwendigen Cookies aufgeführt.
NUR NOTWENDIGE AKZEPTIERENCOOKIES AUSWÄHLEN
Close Cookie Preference Manager
Cookie Einstellungen
Indem Sie auf „Alle Cookies akzeptieren“ klicken, erklären Sie sich damit einverstanden, dass Cookies auf Ihrem Gerät gespeichert werden, um die Navigation auf der Website zu verbessern, die Nutzung der Website zu analysieren und unsere Marketingbemühungen zu unterstützen, wie in unserer Datenschutzrichtlinie dargelegt.
Streng notwendig (immer aktiv)
Cookies, die erforderlich sind, um grundlegende Funktionen der Website zu ermöglichen.
ALLE AKZEPTIERENEINSTELLUNGEN SPEICHERN