Warum zögern Österreich und viele EU-Staaten bei der Umsetzung von NIS2?
Die NIS2-Richtlinie soll Europas kritische Infrastrukturen widerstandsfähiger gegen Cyberangriffe machen. Eigentlich wäre das Gesetz seit 18. Oktober 2024 in allen EU-Staaten umzusetzen gewesen. Doch die Realität sieht anders aus: Mehrere Mitgliedstaaten sind säumig. Dabei gab es zuletzt schwerwiegende Vorfälle, wie den Cyberangriff auf das Innenministerium und bestätigte Angriffe auf das Außenministerium in Österreich. Solche Ereignisse müssten eigentlich Alarmstufe Rot auslösen. Stattdessen herrscht politische Trägheit.
Die Gründe scheinen komplex und wirken für mich oft vorgeschoben:
- Politische Prioritäten: Cybersicherheit ist scheinbar kein Wahlkampfthema und wird zugunsten sichtbarer Projekte verdrängt.
- Scheinbare Komplexität der Richtlinie: Ja, NIS2 erfordert umfassende Anpassungen von Gesetzen, Verantwortlichkeiten und Kontrollmechanismen. Behörden und Unternehmen müssen erhebliche Ressourcen bereitstellen. Doch das ist schon seit vielen Jahren bekannt.
- Wirtschaftliche Interessen: Teile der Wirtschaft fürchten hohe Compliance-Kosten. Verzögert Lobbyarbeit die Gesetzgebung?
- Behördliche Überlastung: Nationale Sicherheitsbehörden kämpfen mit Fachkräftemangel, während Cyberbedrohungen stetig zunehmen. Das ist ein seit Jahrzehnten hausgemachtes Problem, dass sich jetzt dramatisch auswirkt.
Und auf EU-Ebene zeigt sich ein strukturelles Problem: Obwohl die nachweislich existierenden permanenten Bedrohungen und Cyberangriffe grenzüberschreitend sind, erfolgt Regulierung im Fall der Umsetzung einer EU-Richtlinie wieder nur national. Viele Mitgliedstaaten schieben die Verantwortung vor sich her, wodurch ein Flickenteppich entsteht. Warum wurde dieses überlebenswichtige Thema nicht in Form einer EU-Verordnung umgesetzt?
Für mich ergibt sich auch folgende Frage: Wessen Interessen werden geschützt, wenn Cybersicherheit kein Top-Thema ist? Eine zögerliche Umsetzung spielt letztlich (den oft staatlichen) Angreifern in die Karten. Cyberkriminalität ist längst geopolitisch motiviert, richtet sich gegen staatliche Stabilität und wirtschaftliche Leistungsfähigkeit. Staaten, die hier zu spät handeln, gefährden ihre eigene Souveränität.
Am 7. Mai 2025 übermittelte die Europäische Kommission 19 Mitgliedstaaten (Bulgarien, Tschechien, Dänemark, Deutschland, Estland, Irland, Spanien, Frankreich, Zypern, Lettland, Luxemburg, Ungarn, die Niederlande, Österreich, Polen, Portugal, Slowenien, Finnland und Schweden) eine mit Gründen versehene Stellungnahme, weil sie die NIS2-Richtlinie nicht vollständig umgesetzt hatten. Die 19 Mitgliedstaaten hätten von da an zwei Monate Zeit gehabt, um zu reagieren und die erforderlichen Maßnahmen zu ergreifen. Andernfalls würde die Kommission beschließen, den Gerichtshof der Europäischen Union anzurufen. Mittlerweile sind weitere knapp 4 Monate vergangen ...
Es wäre an der Zeit, Cybersicherheit nicht mehr als lästige Pflicht, sondern als Teil der nationalen Daseinsvorsorge zu betrachten. So wie es auch bei Energie- oder Gesundheitsversorgung der Fall ist. Eine zügige und konsequente Umsetzung von NIS2 ist kein optionaler Luxus, sondern Grundvoraussetzung für ein funktionierendes Europa im digitalen Zeitalter.
Die Vorbereitung auf die Anforderungen der NIS2-Richtlinie erfordert jedoch nicht zwingend den finalen nationalen Gesetzestext. Unternehmen, die auf Basis fundierter Risikoanalysen ihre Infrastrukturen als potenziell gefährdet einstufen, können und sollten sich bereits jetzt intensiv mit der Umsetzung befassen. Dies geschieht vielerorts auch bereits.
