Die aktualisierten Cyber-Regeln treten in einer Woche in Kraft, doch nur zwei der 27 Mitgliedstaaten haben der Europäischen Kommission bisher ihre nationalen Umsetzungsgesetze mitgeteilt.
Nur Belgien und Kroatien haben die Europäische Kommission eine Woche vor Ablauf der Frist offiziell über ihre Umsetzung der aktualisierten EU-Cybersicherheitsvorschriften für kritische Einrichtungen informiert, sagte ein Sprecher der Kommission gegenüber Euronews.
„Bisher hat die Kommission eine Mitteilung über die vollständige Umsetzung von NIS2 in nationales Recht durch Belgien und über die teilweise Umsetzung durch Kroatien erhalten“, sagte ein Sprecher, ohne eine weitere Stellungnahme abgeben zu können, da „der Prozess noch andauert“.
Die verbleibenden 25 Länder haben bis zum 17. Oktober Zeit, die Netzwerk- und Informationssicherheitsrichtlinie 2 (NIS2) umzusetzen, die bereits 2022 mit dem Ziel verabschiedet wurde, kritische Einrichtungen wie Energie-, Transport-, Bank-, Wasser- und digitale Infrastrukturen davor zu schützen größere Cyber-Vorfälle.
Euronews berichtete im März, dass Kroatien das erste und einzige Land war, das die Kommission über die teilweise Umsetzung informiert habe. Der Status des Landes bleibt derselbe.
Bußgelder bis zu 10 Millionen Euro
Die Kommission hat die Überarbeitung von NIS1 vorgeschlagen – mit dem Ziel, die Widerstandsfähigkeit von Netzwerk- und Informationssystemen in ganz Europa gegenüber Cybersicherheitsrisiken zu erhöhen – mit dem Ziel, mit der zunehmenden Digitalisierung und einer sich entwickelnden Bedrohungslandschaft für Cybersicherheit Schritt zu halten.
Nach Angaben eines Sprechers der EU-Exekutive hat die erste im Jahr 2016 vorgelegte Richtlinie bisher weder die Cyber-Resilienz von in der EU tätigen Unternehmen verbessert noch eine gemeinsame Krisenreaktion gefördert.
Bei Vorfällen, die zu schwerwiegenden Betriebsstörungen führen, müssen Unternehmen innerhalb von 24 Stunden eine Warnung aussprechen und innerhalb von 72 Stunden einen Vorfallbericht vorlegen.
Bei Nichteinhaltung drohen Unternehmen Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist.
Den Unternehmen mangelt es an Bewusstsein
Der französische parlamentarische Ausschuss für digitale und postalische Angelegenheiten sagte in einem Anfang des Monats (3. Oktober) veröffentlichten Bericht, dass NIS 1 zwar fast 600 Unternehmen betreffe, NIS2 jedoch den Umfang auf fast 15.000 Unternehmen erweitern werde.
Der Ausschuss konsultierte im Zeitraum März bis Mai 2024 Interessenvertreter, darunter das nationale Amt für Cybersicherheit, Softwarehersteller und Cloud-Verbände, und kam zu dem Schluss, dass die Umsetzungsfrist „eine Reihe von Herausforderungen“ für Unternehmen mit sich bringt, die jetzt in den Geltungsbereich fallen.
„Der Mehrheit der betroffenen neuen Unternehmen sind die Maßnahmen und Kriterien nicht bekannt, die sie selbst analysieren müssen, um festzustellen, ob sie eingehalten werden“, hieß es.
Es fügt hinzu, dass „der Gesetzentwurf dem Ministerrat noch immer nicht vorgelegt wurde und da das Datum des 17. Oktober 2024 näher rückt, ist seine Zukunft ungewiss.“
Auch in Deutschland ist die Planung zur Verabschiedung des Durchführungsgesetzes für Anfang 2025 vorgesehen.