Zum Umsetzungsstand der NIS-2-Richtlinie nach dem Ampel-Aus: Aufgeschoben ist nicht aufgehoben
Autoren: Dr. Benjamin Wübbelt & Malte Krukenberg
Die Umsetzung der NIS-2-Richtlinie steht in Deutschland vor Herausforderungen – der verpasste Stichtag und die aktuelle politische Unsicherheit werfen Fragen auf. Dr. Benjamin Wübbelt, Fachanwalt für IT-Recht und Partner bei Bird & Bird LLP, sowie Malte Krukenberg, Referendar bei Bird & Bird LLP, beleuchten in ihrem Kommentar die rechtlichen und praktischen Folgen für Unternehmen der Wasserwirtschaft.
Zum Umsetzungsstand der NIS-2-Richtlinie nach dem Ampel-Aus: Aufgeschoben ist nicht aufgehoben
Autoren: Dr. Benjamin Wübbelt & Malte KrukenbergDurch die Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union („NIS-2-RL“) soll die Cyberresilienz in der Union gestärkt und ein einheitlicher Rahmen durch Mindestvorgaben geschaffen werden. Stichtag für die Umsetzung der NIS-2-RL wäre der 17. Oktober 2024 gewesen. Deutschland hat diesen Stichtag verpasst und nach dem Ende der Ampelregierung ist eine kurzfristige Umsetzung eher nicht mehr zu erwarten. Was bedeutet dies für Unternehmen der Wasserwirtschaft?
Von der Richtlinie zum Gesetz: Warum die NIS-2-Richtlinie nicht direkt gilt
Richtlinien müssen von den Mitgliedstaaten in nationales Recht umgesetzt werden; das gilt auch für die NIS-2-RL. Die NIS-2-RL mag zahlreiche unangenehme Cybersicherheitspflichten für Unternehmen enthalten. Diese Pflichten gelten für Unternehmen aber (anders als bei einer Verordnung) nicht unmittelbar, sondern erst nach einer Umsetzung der Richtlinie durch den Mitgliedstaat in nationales Recht.
Verpasste Fristen: Welche Folgen das Versäumnis für deutsche Unternehmen hat
Was mit Richtlinien passiert, die von einem Mitgliedstaat nicht fristgemäß umsetzt werden, kann im Detail rechtlich äußerst kompliziert sein, ist im Fall der NIS-2-RL jedoch eindeutig: Ohne eine Umsetzung der NIS-2-RL in deutsches Recht, kann eine deutsche Aufsichtsbehörde gegenüber einem Unternehmen auch nicht auf deren Einhaltung pochen. Ein Mitgliedstaat kann nicht von einer Umsetzung in nationales Recht absehen, dann aber von Unternehmen die Einhaltung des (nicht umgesetzten) Richtlinientexts verlangen. Aus Sicht deutscher Unternehmen ändert der verpasste Stichtag mithin nichts an der Ausgangssituation: Sie können und dürfen die nationale Umsetzung der NIS-2-RL abwarten. Sanktionen einer nicht fristgemäß umgesetzten Richtlinie treffen den Mitgliedstaat, der seine Pflichten nicht erfüllt hat, nicht hingegen Unternehmen, die in dem Mitgliedstaat ansässig sind.
Vorbereitung auf die Zukunft: Warum Unternehmen jetzt handeln sollten
Auch wenn Unternehmen damit vorerst keine Sanktionen drohen, sollten die Hände gleichwohl nicht in den Schoß gelegt werden. Dadurch, dass Deutschland den Stichtag wohl erheblich verfehlen wird, darf nach Inkrafttreten des deutschen Umsetzungsgesetzes eher keine großzügige Umsetzungsfrist erwartet werden. Das Gesetz wird voraussichtlich in dem Moment scharfgestellt sein, an dem es in Kraft tritt. Für Unternehmen bedeutet das, dass sie die Umsetzung nicht auf Wiedervorlage legen sollten, sondern gut daran täten, das Gesetzgebungsverfahren schritthaltend nachzuvollziehen, um nicht an dessen Ende von bösen Überraschungen überrumpelt zu werden. Dies gilt umso mehr, als dass die NIS-2-RL so formuliert ist, dass sie dem nationalen Gesetzgeber nur bedingt Umsetzungsspielraum lässt und es auch schon weit gediehene Gesetzesentwürfe zum nationalen Umsetzungsgesetz gibt, nämlich das sog. NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Verpasster Stichtag hin – verpasster Stichtag her; Unternehmen können durchaus erkennen, was auf sie zu kommt und sich hierauf einstellen. Diese Chance sollte nicht vertan werden.
Neue Anforderungen der NIS-2-Richtlinie für die Wasserwirtschaft
Unternehmen der Wasserwirtschaft werden in einem der relevanten Sektoren angesiedelt sein. Sie müssen sich über den Anwendungsbereich Gedanken machen, wenn sie mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über EUR 10 Mio. aufweisen. Unternehmen der Wasserwirtschaft, die diesen Schwellenwert reißen, sollten sich folglich mit den Pflichtenkanon auseinandersetzen und sich an diesem ausrichten. Dies betrifft etwa Risikomanagementpflichten, Melde- und Registrierungspflichten, Nachweispflichten und Unterrichtungspflichten.
Cybersicherheit in der Führungsetage: Die Rolle der Geschäftsführung unter NIS-2
Zudem tun Unternehmen der Wasserwirtschaft gut daran, Cybersicherheit zur „Chefsache“ zu erklären. Auch wenn Detailfragen eines künftigen Umsetzungsgesetzes voraussichtlich erst in der künftigen Legislaturperiode geklärt werden sollten; eines ist bereits jetzt klar: Geschäftsleitungen werden besonders in den Fokus rücken und durch das Umsetzungsgesetz besonders adressiert. Ihnen wird eine persönliche Umsetzungs- und Überwachungsaufgabe zukommen deren Nichterfüllung empfindliche (persönliche) Haftungsszenarien der Geschäftsleitung nach sich ziehen können. Gerade die Leitungsebene sollte das Ampel-Aus daher als Zeitgewinn begreifen und sich rasch auf Ballhöhe bringen.
Aufgeschoben ist nicht aufgehoben: Warum Unternehmen keine Zeit verlieren sollten
Das Ampel-Aus droht im Bereich der Cybersicherheitsgesetzgebung zu politischem Stillstand zu führen. Bis sich die jetzige oder eine kommende Regierung der Umsetzung widmet (was wohl in beiden Szenarien nicht die nächstmögliche Amtshandlung sein wird), müssen Unternehmen die NIS-2-RL nicht einhalten. Erkennbare Neuerungen sollten gleichwohl bereits jetzt angegangen werden, denn: Aufgeschoben ist nicht aufgehoben.
Dr. Benjamin Wübbelt
Dr. Benjamin Wübbelt ist Fachanwalt für Informationstechnologierecht und Partner bei Bird & Bird LLP. Er berät schwerpunktmäßig öffentliche Auftraggeber bei der Strukturierung und Durchführung von IT-Infrastruktur- und Digitalisierungsprojekten.
Bild: Bird & BIrd LLP
Bild: Bird & Bird LLP
Malte Krukenberg
Malte Krukenberg ist Rechtsreferendar bei Bird&Bird LLP.