NIS2-Richtlinie: Verpasst Deutschland die Frist zur Umsetzung?

Die Umsetzung der NIS2-Richtlinie soll in Deutschland mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) erfolgen. Ein entsprechender Referentenentwurf wurde vom zuständigen Bundesministerium des Innern und für Heimat bereits vorgelegt. Inzwischen hat das Ministerium außerdem ein Diskussionspapier zu den wirtschaftlichen Aspekten veröffentlicht. Bis zum 20. Oktober 2023 können die betroffenen Verbände dazu Stellung nehmen. Trotz dieser Fortschritte soll es derzeit in der Ressortabstimmung zwischen den beteiligten Ministerien erheblich zu knirschen. Sogar von einer Verschiebung der Umsetzung in die nächste Legislaturperiode soll die Rede sein. Ob das NIS2UmsuCG fristwahrend verabschiedet wird und die Umsetzung der NIS2-Richtlinie rechtzeitig gelingt, scheint zum jetzigen Zeitpunkt offen.

Vertragsverletzungsverfahren bei verspäteter Umsetzung

Nach Art. 288 Abs. 3 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) sind die Mitgliedsstaaten der EU verpflichtet, Richtlinien fristgerecht umzusetzen. Eine Nichtumsetzung stellt eine Vertragsverletzung dar, auf die die EU-Kommission mit der Einleitung eines Vertragsverletzungsverfahrens reagieren kann. Stellt der Europäische Gerichtshof (EuGH) eine Vertragsverletzung fest, kann er auf Antrag der EU-Kommission gemäß Art. 260 Abs. 3 AEUV ein Zwangsgeld gegen den Mitgliedsstaat verhängen. Aufgrund der Versäumnisse beim Schutz von Whistleblowern und der verspäteten Umsetzung der Whistleblower-Richtlinie fordert die EU-Kommission von Deutschland in einem vergleichbaren Fall ein Zwangsgeld in Höhe von über 60.000 Euro für jeden Tag seit Ablauf der Umsetzungsfrist bis zum Tag der Behebung des Verstoßes. Insgesamt droht eine Strafzahlung in zweistelliger Millionenhöhe. Sollte Deutschland die NIS2-Richtlinie über einen längeren Zeitraum nicht umsetzen, droht ein erheblicher Schaden für die Staatskasse.

Keine unmittelbare Anwendbarkeit der Richtlinie

Solange die NIS2-Richtlinie nicht in nationales Recht umgesetzt, kann sie keine Verpflichtungen für private Unternehmen begründen. Nach ständiger Rechtsprechung des EuGH können Richtlinien trotz fehlender nationaler Umsetzung allerdings unmittelbare Rechtswirkung gegenüber dem Staat entfalten. Voraussetzung hierfür ist, dass der Normtext inhaltlich hinreichend bestimmt ist. Die NIS-Richtlinie enthält in erster Linie regulatorische Vorgaben für wichtige und wesentliche Einrichtungen und begründet keine individualisierten Rechte von Bürgern gegenüber dem Staat. Eine unmittelbare Anwendbarkeit der Richtlinie dürfte daher nach den Kriterien des EuGH nicht in Betracht kommen.

Amtshaftungsansprüche unwahrscheinlich

Bürger können unter Berufung auf eine nicht fristgerecht umgesetzte Richtlinie Amtshaftungsansprüche gegen den Staat geltend machen. Dies ist bereits dann möglich, wenn eine Vorschrift der Richtlinie dem Anspruchsteller ein subjektives Recht einräumt. Die NIS2-Richtlinie ist jedoch Teil des neuen europäischen Cybersicherheitsrechts und zielt auf die Verbesserung der Cybersicherheit in der EU. Die Richtlinie dient damit grundsätzlich dem Allgemeininteresse. Individuelle Rechtspositionen lassen sich nur schwer begründen, so dass es an hinreichenden Anknüpfungspunkten für Staatshaftungsansprüche fehlt.

Was Unternehmen beachten müssen

Wird die NIS2-Richtlinie nicht fristgerecht umgesetzt, ergeben sich für Unternehmen auch nach Fristablauf keine unmittelbaren Pflichten. Dennoch sollten Unternehmen die Vorgaben so schnell wie möglich umsetzen. Es ist nämlich nur eine Frage der Zeit, bis die Vorgaben auch in Deutschland verbindlich werden und der Umsetzungsaufwand kann erheblich sein.Zudem werden gezielt Verantwortliche in Leitungspositionen durch die Regelungen in die Pflicht genommen und haftbar gemacht. Es drohen also Haftungsrisiken für Leistungsorgane. Rund 80 Prozent der betroffenen Unternehmen sind sich noch nicht bewusst, dass sie von der NIS2-Richtlinie erfasst werden. Sofern noch nicht geschehen, sollten Unternehmen daher dringend prüfen, ob sie in den Anwendungsbereich fallen (z.B. mit unserem kostenlosen Quick-Check). Insbesondere bei globalen Unternehmensstrukturen kann die Bestimmung des Anwendungsbereichs knifflig sein.