Direkte Pflichten aus der NIS2-Richtlinie für Unternehmen?

Direkte Pflichten aus der NIS2-Richtlinie für Unternehmen?
Photo by Oliver Sand / Unsplash
  • Wann das Nis2-Umsetzungsgesetz kommt ist im Moment unklar
  • Aus der NIS2-Richtlinie folgen für die Betreiber keine direkten Pflichten
  • Betreiber sollten trotzdem anfangen die Pflichten aus den bisher bekannten Entwürfen des NIS2-Umsetzungsgesetzes umzusetzen

Die NIS2-Richtlinie gibt vor, dass bis Oktober 2024 das deutsche NIS2-Umsetzungsgesetz in Kraft getreten sein muss. Dies ist offensichtlich nicht passiert. Bisher hieß es immer, dass das Gesetz im März 2025 in Kraft treten soll. Diese Timeline ist allerdings durch den Bruch der Ampel-Regierung mehr als fraglich geworden. Es könnte sein, dass das NIS2-Umsetzungsgesetz mit mindestens einem Jahr Verzögerung kommt (siehe hierzu näher meinen Blogeintrag hier)

Man könnte nun auf die Idee kommen, dass sich ggf. aus der NIS2-Richtlinie ab Oktober 2024 direkte Pflichten für die Betreiber ergeben können. Ist dem so? Verkürzt lautet die Antwort schlicht "Nein" (siehe auch die FaQs des BSI dazu hier). Warum ist dies aber so und gilt dieses "Nein" immer und absolut?

Die folgenden Ausführungen lassen sich entsprechend auch auf die CER-Richtlinie (Umsetzungsgesetz ist hier das Kritis-Dachgesetz) übertragen.

Grundsatz: Keine unmittelbaren Pflichten aus der NIS2-Richtlinie für die Betreiber

Zunächst muss man die unterschiedliche Wirkung von europäischen Richtlinien (wie z.B. der NIS2-Richtlinie) und europäischen Verordnungen (wie z.B. dem europäischen KI Gesetz, auch AI Act oder KI Verordnung genannt) verstehen. Im Gegensatz zu Verordnungen, die unmittelbar nach Inkrafttreten in den Mitgliedstaaten gelten, sind Richtlinien nicht unmittelbar in den Mitgliedstaaten gültig. Sie müssen zunächst von einzelnen Mitgliedstaaten in nationales Recht umgesetzt werden. Dies ist der Grund, warum der deutsche Gesetzgeber auf Grundlage der NIS2-Richtlinie das deutsche NIS2-Umsetzungsgesetz erarbeitet.

Falls ein Mitgliedsstaat dieser Umsetzungspflicht nicht nachkommt, so kann die Europäische Kommission ein ein Vertragsverletzungsverfahren einleiten und beim Gerichtshof der Europäischen Union die Verurteilung des säumigen Mitgliedsstaats verlangen. Theoretisch könnte Deutschland also wegen der verzögerten Umestzung der NIS2-Richtlinie zu einer Bußgeldzahlung verurteilt werden. Da allerdings auch andere europäische Staaten mit der Umsetzung in Verzug sind, erscheint dies unrealistisch.

Keine Ausnahme vom Grundsatz durch unmittelbare Wirkung der NIS2-Richtlinie

Ausnahmesweise können auch Richtlinien unmittelbare Wirkung entfalten, falls ein Mitgliedsstaat die Richtlinie nicht rechtzeitig umsetzt. Hierfür müssen zunächst in einem ersten Schritt drei Voraussetzungen erfüllt sein: [1]

  1. Ablauf der Umsetzungsfrist ohne korrekte Umsetzung,
  2. die Richtlinie muss hinsichtlich der anzuwendenden Bestimmung inhaltlich hinreichend genau bestimmt sein und
  3. die Richtlinie muss insoweit unbedingt sein, darf also den Mitgliedstaaten in Bezug auf die betreffende (an sich umsetzungsbedürftige) Vorschrift keinen Umsetzungsspielraum lassen.

Zumindest die letzte Voraussetzung wird größtenteils nicht erfüllt sein, da die NIS2-Richtlinie sehr häufig den Mitgliedsstaaten Umsetzungsspielräume bei der Ausgestaltung der einzelnen Vorschriften lässt. Dies lässt sich z.B. sehr gut an der unterschiedlichen Ausgestaltung in in Österreich erkennen.

Selbst wenn in einem ersten Schritt diese drei Voraussetzungen (zumindest für einzelne Vorschriften der NIS2-Richtlinie) erfüllt sein sollten, so wird in einem zweiten Schritt nach verschiedene Konstellationen unterschieden, ob eine unmittelbare Anwendung der Richtlinie möglich ist oder nicht. Unterschieden wird danach, ob es sich um eine Situation im Verhältnis von Staat zu Privaten (oder umgekehrt) handelt (Vertikalverhältnis) oder ob es sich um ein Verhältnis von Privat zu Privat handelt (Horizontalverhältnis).

Im Falle der NIS2-Richtlinie geht es vornehmlich um die Frage, ob der Staat gegen Private (also insbesondere Unternehmen) eine belastende Richtlinienbestimmung unmittelbar zur Anwendung bringen, etwa in Form darauf gestützter belastenender Verwaltungsakte oder Strafmaßnahmen. Dies wäre z.B. der Fall, wenn der Staat die Vorgaben der NIS2-Richtlinie ohne deutsches NIS2-Umsetzungsgesetz gegen einen Betreiber durchsetzten wollte. Diese Art der vertikalen unmittelbaren Richtlinienwirkung ist unzulässig. Die Behörden dürfen nicht gegen die Betreiber auf Grund der nicht umgesetzten NIS2-Richtlinie vorgehen.

Sonstige Konstellationen der unmittelbaren Richtlinienwirkung

  • Vertikale unmittelbare Richtlinienwirkung im Verhältnis Privat zu Staat
    • Ein Bürger beruft sich auf eine ihn begünstigende, noch nicht umgesetzte Richtlinie. Diese staatlicherseits zu gewährende Begünstigung ist dem Bürger in unmittelbarer Anwendbarkeit der Richtlinie zu gewähren.
    • Ein Anwendungsfall ist im Bereich der NIS2-Richtline nicht erkennbar.
  • Horizontale unmittelbare Richtlinienwirkung im Verhältnis von Privat zu Privat
    • In einem Rechtsstreit zwischen zwei Privaten beruft sich die eine Seite auf eine Bestimmungen aus einer nicht umgesetzten Richtlinie um hieraus Vorteile für sich zu gewinnen. Es geht also darum, dass ein Privater ein subjektives Recht gegenüber eines anderen Privaten direkt aus der Richtlinie ableitet (positive Horizontalwirkung) oder geltend macht eine ihn belastende Norm verstoße gegen die Richtlinie und dürfe deshalb nicht angewendet werden (negative Horizontalwirkung).
    • Diese Art der unmittelbaren Richtlinienwirkung wird ganz überwiegend als unzulässig angesehen.

Richtlinienkonforme Auslegung von bestehenden Recht kann Auswirkungen haben

Neben der theoretisch möglichen (aber hier abgelehnten) unmittelbaren Wirkung von Richtlinien besteht mit der richtlinienkonformen Auslegung von bestehenden Recht eine weitere Möglichkeit, wie eine nicht umgesetzte Richtlinie gleichwohl eine Auswirkung auf die Betreiber haben kann. [2]

Mit Ablauf der Umsetzungsfrist einer Richtlinie beginnt die Pflicht zur richlinenkonformen Auslegung des bestehenden Rechts innerhalb der Mitgliedsstaaten durch die Gerichte. Es ist hierbei gleichgültig, ob das auszulegende Recht vor oder nach der Richtlinie erlassen wurde. Insbesondere können bei der Auslegung von Generalklauseln die Inhalte der nicht umgesetzten Richtlinie herangezogen werden. Die richtlinienkonforme Auslegung führt dazu, dass ein deutsches Gericht die Auslegung einer deutschen Norm soweit wie möglich an einer europäischen Richtlinie ausrichtet.

Bedeutung könnte dies z.B. in Versicherungsfällen haben. Ggf. besteht für die Versicherung die Möglichkeit die Zahlung der Versicherungssumme zu verweigern, wenn nach Oktober 2024 durch den Versicherungsnehmer die Maßgaben der NIS2-Richtlinie nicht eingehalten wurden. Auch könnten beispielsweise Kunden von einem gehackten Unternehmen die Wertungen der NIS2-Richtlinie in einen möglichen Schadensersatzprozess einführen.

Wie realistisch eine solche Bezugnahme tatsächlich ist, ist schwierig einzuschätzen aber nicht gleich null. Ausgeschlossen werden kann dagegen wohl, dass sich eine Behörde auf eine richtlinienkonforme Auslegung der aktuellen IT-Sicherheitsgesetze (z.B. der angemessenen technischen und organisatorischen Vorkehrungen nach Stand der Technik, § 8a Abs. 1 BSIG) bezieht um sodann Bußgelder wegen Verstößen gegen die NIS2-Richtlinie zu verhängen.

Konsequenz für die Betreiber

Die Betreiber unterliegen (abgesehen vom Risiko der richtlinienkonformen Auslegung des bestehenden Rechts) vor der Umsetzung der NIS2-Richtlinie durch das NIS2-Umsetzungsgsetz keinen zusätzlichen IT-Sicherheitspflichten. Die Behörden können auch keine der neuen Zwangsmaßnahmen erlassen oder Bußgelder verhängen, solange kein entsprechendes nationales Gesetz existiert.

Allerdings ist auch klar, dass das NIS2-Umsetzungsgesetz in irgendeiner Form verabschiedet wird. Das Gesetz ist keinesfalls "abgesagt", da der deutsche Gesetzgeber auf Grund der europäischen Vorgaben ein solches Gesetz erlassen muss. Wie lange sich das Gesetz verzögert, ist im Moment allerdings schwer einzuschätzen (siehe hierzu näher meinen Blogbeitrag hier).

Die Betreiber befinden sich somit in der misslichen Situation, dass sie absehbar mit Anforderungen aus einem Gesetz konfrontiert sind, dessen Inhalt sie bisher nicht komplett kennen. Wenn das Gesetz kommt, so werden sich hierin voraussichtlich keine weiteren Übergangsfristen finden (siehe zu den Übergangsfristen und dem Nachweisverfahren die näheren Ausführungen im Grundwissen, Nr. 23). Die Unternehmen sollten also bereits auf Grundlage der bisher bekannten Entwürfe des NIS2-Umsetzungsgesetzes mit der Umsetzung der IT-Sicherheitsanforderungen anfangen. Die wirtschaftsbezogenen Regelungen zur Umsetzung der NIS-2-Richtlinie sind nicht mehr ernsthaft umstritten und werden sich voraussichtlich in kaum geänderter Form im finalen Gesetz wiederfinden. Zudem ist die Bedrohungslage so hoch, dass die Unternehmen bereits aus Eigeninteresse tätig werden sollten.


Quellen:

[1] Hierzu und zu den folgenden Ausführungen: Haratsch/Koenig/Pechstein, Europarecht, 13. Auflage 2023, Rn. 371 ff.

[2] Weitere Mitteln zur Überwindung eines Umsetzungsdefizits wären nach Ruffert, in: Calliess/Ruffert, EUV/AEUV, 6. Auflage 2022, Rn. 47 beispielsweise der unionsrechtliche Staatshaftungsanspruch und eine Rüge vor dem EGMR. Hierauf wird allerdings nicht weiter eingegangen. Die folgenden Ausführungen beruhen auf Calliess/Ruffert, aaO, Rn. 78 ff. und Haratsch/Koenig/Pechstein, aaO, Rn. 383 ff.