Österreich
Argentina 
Australia 
Brazil 
Canada 
Germany 
Ireland 
Italy 
Malaysia 
Mexico 
New Zealand 
Poland 
South Africa 
United Kingdom 
United States Unternehmen sollten EU-Richtlinien auch ohne deutsche Gesetze erfüllen
Die Bundesrepublik Deutschland hat ihre Verpflichtung zur Umsetzung sowohl der europäischen Nachhaltigkeitsrichtlinie CSRD (Corporate Sustainability Reporting Directive) als auch der Cybersicherheitsrichtlinie NIS-2 (Network and Information Security Directive) nicht eingehalten. Zu beiden laufen Vertragsverletzungsverfahren der EU-Kommission gegen Deutschland. „Das bedeutet aber nicht, dass Unternehmen hierzulande darauf hoffen dürfen, dass die Richtlinien nicht umgesetzt werden“, erklärt Rechtsanwalt Lothar Harings, Partner in der Hamburger Kanzlei Graf von Westphalen.
Der Lieferkettenexperte rät betroffenen Firmen stattdessen, die Bestimmungen der beiden Regelungen proaktiv zu erfüllen. „Die Gesetze werden kommen, Deutschland kann sich seiner europarechtlichen Verpflichtung nicht entziehen“, betont Harings. „Deshalb ist auch anzunehmen, dass die nächste Bundesregierung versuchen wird, die Berichtspflichten rückwirkend in Kraft zu setzen“, so der Rechtsanwalt weiter. Bobachter fürchten sogar, dass der Bund dann selbst für diesen Zeitraum Bußgelder erheben werde.
EU-Richtlinien proaktiv erfüllen
„Wer kein Risiko eingehen will, sollte sich in jedem Fall so verhalten, als ob es die beiden Gesetze schon gäbe, alles andere wäre leichtfertig“, mahnt Harings. Für europäische Richtlinien gelte grundsätzlich, dass betroffene Unternehmen die Zeit zwischen ihrer Veröffentlichung im Amtsblatt der EU bis zum geplanten Inkrafttreten in nationalem Recht nutzen sollten, um sich auf ihre Umsetzung vorzubereiten. Aus den europäischen Verträgen lasse sich ableiten, dass kein Rechtsanspruch darauf bestehe, Verzögerungen im deutschen Verfahren wie ein Scheitern der Gesetzgebung auszulegen.
Konkret bedeutet diese Empfehlung, dass Unternehmen mit mehr als 750 Beschäftigten und einer Bilanzsumme über 25 Millionen Euro oder höheren Umsätzen als 50 Millionen Euro die Vorgaben der europäischen Nachhaltigkeitsrichtline ab dem 1. Januar erfüllen sollten. Dazu zählt unter anderem ein sendungsbezogenes Reporting der CO₂-Emissionen im Güterverkehr mit sämtlichen Verkehrsträgern.
Die Cybersicherheitsrichtlinie NIS-2 wäre dagegen bereits seit dem 18. Oktober einzuhalten. Sie regelt unter anderem den Umgang mit IT-Sicherheitsvorfällen und schreibt Unternehmen ab 50 Beschäftigen mit mehr als 10 Millionen Euro Jahresumsatz die Umsetzung von IT-Notfallplänen vor. Wer diese Auflagen nicht einhält, muss mit Bußen in Höhe von 2 Prozent des Jahresumsatzes rechnen; diese seien jedoch ohne geltendes nationales Recht kaum durchsetzbar, bewertet Harings. „Wer die Auflagen der NIS-2 immer noch nicht erfüllt, hat durch die Verzögerung eine allerletzte Karenzzeit erhalten“, so der Hamburger Rechtsanwalt.
