Die Klage der EU-Kommission richtet sich gegen Irland, Spanien, Frankreich und die Niederlande. Nach Angaben der Behörde haben diese vier Staaten die NIS2-Richtlinie mehr als 20 Monate zu spät in nationales Recht umgesetzt. NIS2 ist das zentrale europäische Regelwerk für Cybersicherheit in kritischen Sektoren und schreibt Mindeststandards unter anderem für Krankenhäuser, Energienetze, Verkehrsunternehmen und öffentliche Verwaltungen vor.
Die Kommission fordert vom Gerichtshof der Europäischen Union sowohl Pauschalstrafen als auch laufende tägliche Geldbußen gegen alle vier Länder. Die Sanktionen sollen so lange gelten, bis jeder Staat die vollständige Umsetzung der Richtlinie formell notifiziert hat.
Allerdings werden solche von der Kommission beantragten Geldstrafen dem Quelltext zufolge in der Praxis nur selten fällig. In früheren Fällen hätten Mitgliedstaaten die erforderlichen Gesetze meist noch während laufender Verfahren verabschiedet. Daraufhin habe die Kommission ihre Klagen zurückgezogen, bevor das Gericht ein Urteil sprechen konnte.
Wie weit die EU insgesamt bei der Umsetzung hinterherhinkt, zeigen die im Quelltext genannten Zahlen: Die ursprüngliche Frist zur Überführung von NIS2 in nationales Recht lief im Oktober 2024 ab. Bis Januar 2025 hatten jedoch nur sechs der 27 Mitgliedstaaten die Richtlinie umgesetzt.
Der juristische Schritt fällt in eine Phase, in der ENISA, die Cybersicherheitsagentur der EU, vor einer großen Zahl von Vorfällen warnt. Für den Zeitraum bis Juni 2025 registrierte die Behörde Tausende Cybersicherheitsvorfälle in der EU. Öffentliche Verwaltungen waren laut ENISA mit 38 Prozent aller Vorfälle der am stärksten betroffene kritische Sektor, gefolgt vom Verkehrssektor mit 7,5 Prozent.
Auch führende EU-Vertreter betonen das Risiko inzwischen deutlich schärfer. Im Februar sagte die für Technologie zuständige Kommissionsvizepräsidentin Henna Virkkunen in München, die Europäische Union könne es sich nicht länger leisten, gegenüber den Fähigkeiten von Gegnern „naiv“ zu sein, kritische Infrastruktur abzuschalten. Stromnetze, Krankenhäuser und Finanzsysteme seien zunehmend exponiert.
NIS2 ist die überarbeitete Fassung der ursprünglichen Richtlinie über Netz- und Informationssicherheit aus dem Jahr 2016. Die ältere Fassung erfasste weniger Sektoren und wurde innerhalb der EU uneinheitlich angewandt. Die neue Richtlinie erweitert den Anwendungsbereich auf 18 kritische Sektoren und ergänzt Vorgaben zum Risikomanagement sowie zur Meldung von Sicherheitsvorfällen, die in der ursprünglichen Regelung nicht enthalten waren.
Zugleich ist NIS2 ein Baustein für weitere EU-Gesetze zur Cybersicherheit. Der Cyber Resilience Act, der Sicherheitsanforderungen für vernetzte Produkte festlegt und dessen Pflichten zur Meldung von Schwachstellen ab 2027 greifen, stützt sich auf das durch NIS2 geschaffene Netz nationaler Reaktionsteams.
Im Januar schlug die Kommission zudem eine Überarbeitung des EU Cybersecurity Act vor. Damit sollen ENISA gestärkt und Risiken in kritischen Technologiesupplychains verringert werden. Dazu gehört laut Quelltext auch eine Regelung, nach der Mitgliedstaaten benannte Hochrisikoanbieter wie Huawei und ZTE schrittweise aus kritischer Infrastruktur entfernen sollen.
Parallel schlug die Kommission gezielte Änderungen an NIS2 vor, um mehr rechtliche Klarheit zu schaffen und Unternehmen die Einhaltung zu erleichtern. Nach Aussagen von EU-Vertretern haben gerade diese Punkte zu Verzögerungen bei der Umsetzung der aktualisierten Richtlinie beigetragen.
Irland erklärte, sein National Cyber Security Bill, das NIS2 umsetzen und das National Cyber Security Centre des Landes auf eine gesetzliche Grundlage stellen soll, stehe kurz vor dem Abschluss. Der zuständige Minister rechne damit, die Umsetzung bis Ende 2026 zu melden. Vergleichbare Erklärungen aus Spanien, Frankreich und den Niederlanden lagen zum Zeitpunkt des Quelltexts nicht vor.
