Zur NIS2-Richtlinie und ihrer Umsetzung in Spanien

Die Richtlinie legt fest – und erweitert damit den in NIS1 genannten Kreis von Einrichtungen –, auf welche Organisationen sie Anwendung findet (einschließlich wesentlicher und wichtiger Einrichtungen in Sektoren wie Energie, Verkehr, Gesundheit, digitale Infrastrukturen, öffentliche Verwaltung u.a.); sie stellt strengere Anforderungen an das Risikomanagement und die Cybersicherheit der betroffenen Einrichtungen, einschließlich Prävention, Erkennung, Reaktion und Meldung von Vorfällen; sie führt strenge Überwachungsmaßnahmen, erweiterte Durchsetzungsbefugnisse und harmonisierte Sanktionen bei Verstößen ein.

Darüber hinaus zielt die Richtlinie darauf ab, Standards und Praktiken der Cybersicherheit in der EU zu harmonisieren, Fragmentierung zu verringern und die Zusammenarbeit zwischen den Mitgliedstaaten zu stärken – einschließlich der Schaffung des Europäischen Netzwerks für die Koordination bei Cyberkrisen (EU-CyCLONe) zur koordinierten Reaktion auf großflächige Vorfälle. Sie betont außerdem die Notwendigkeit, dass Organisationen Risiken in ihren Lieferketten und Beziehungen zu Dienstleistern berücksichtigen, und legt fest, dass die Leitungsorgane der Einrichtungen für die Einhaltung verantwortlich sind – mit Anforderungen an Schulung und Sensibilisierung.

Spanien hat die NIS2-Richtlinie bis September 2025 noch nicht vollständig in nationales Recht umgesetzt. Die Gründe dafür sind vielfältig: Die spanische Regierung legte erst im Januar 2025 einen Gesetzesentwurf zur Umsetzung von NIS2 vor – also nach Ablauf der Frist. Tatsächlich hat Spanien in den letzten Jahren wiederholt Verzögerungen bei der Umsetzung von EU-Richtlinien erlebt, bedingt durch politische Blockaden, wechselnde Regierungsprioritäten und administrative Engpässe. Obwohl das Gesetzgebungsverfahren im Eilverfahren erfolgt, wurde es bereits verspätet eingeleitet. Im Januar 2025 verabschiedete der Ministerrat den Gesetzesentwurf zur Koordination und Steuerung der Cybersicherheit zur Umsetzung von NIS2. Derzeit befindet sich dieser im parlamentarischen Verfahren und wurde noch nicht im Offiziellen Spanien Gesetzblatt(BOE) veröffentlicht. Eine öffentliche Konsultation fand Ende 2023 und Anfang 2024 statt, und es wird erwartet, dass das Gesetz bis Ende 2025 verabschiedet werden wird.

In der Zwischenzeit hat die Europäische Kommission wegen der Verzögerung ein Vertragsverletzungsverfahren eingeleitet und am 7. Mai 2025 ein mit Gründen versehenen Gutachten übermittelt, mit einer Frist von zwei Monaten zur Umsetzung der Richtlinie – auch diese Frist wurde jedoch nicht eingehalten.

Ungeachtet dessen ist es ein weit verbreitetes Verständnis, dass „man nicht auf die Verabschiedung des Gesetzes warten sollte“ und dass spanische Organisationen (öffentliche wie private), die unter den Anwendungsbereich von NIS2 fallen, bereits jetzt mit der Vorbereitung und Ausrichtung auf die Anforderungen der Richtlinie beginnen sollten – auch wenn das nationale Gesetz noch nicht in Kraft ist. In diesem Zusammenhang veröffentlicht beispielsweise das Nationale Kryptologische Zentrum (CCN) Leitfäden (CCN-STIC 892; CCN-STIC 896, um die jüngsten zu nennen; der aktuellste stammt vom 25. August 2025), um Organisationen bei der Vorbereitung auf die Einhaltung von NIS2 zu unterstützen – in Erwartung der formellen Umsetzung.

Zusammenfassend: Spanien hat die Umsetzung von NIS2 noch nicht abgeschlossen. Der Gesetzesentwurf befindet sich im parlamentarischen Eilverfahren und soll bis Ende 2025 verabschiedet werden – mit über einem Jahr Verspätung gegenüber der offiziellen Frist. In der Zwischenzeit hat die Europäische Kommission ein Vertragsverletzungsverfahren wegen der Verzögerung eingeleitet. Und betroffene Organisationen tun gut daran (viele tun es bereits), ihre Strukturen frühzeitig an NIS2 anzupassen – noch bevor das Gesetz verabschiedet wird. Eine Zertifizierung nach dem ENS (Nationales Sicherheitsrahmenwerk, Königliches Dekret 311/2022) ist beispielsweise eine gute Grundlage für die Anpassung an NIS2, sobald diese in Kraft tritt.​