Brüssel nimmt Luxemburg wegen fehlender Umsetzung der CER-Richtlinie vor Gericht. Bislang bleibt das Land ohne gesetzliche Konsequenzen.
Ein Cyberangriff legte in Luxemburg zeitweise wichtige Dienste lahm, doch die gesetzliche Nacharbeit lässt auf sich warten.
Im Juli 2025 traf es laut Darstellung die Post-Infrastruktur besonders hart: Internet und Telefon funktionierten in Teilen des Landes nur eingeschränkt, zudem waren zeitweise auch Notrufsysteme nicht erreichbar.. Die Regierung setzte daraufhin eine Krisenzelle ein, Ermittler arbeiteten intensiv.. Trotzdem, so der Vorwurf in Brüssels Vorgehen, folgte offenbar nicht die Umsetzung der erforderlichen Resilienz-Vorgaben.
Konkret geht es um die EU-Kommission und die CER-Richtlinie zur Resilienz kritischer Infrastrukturen. Die Kommission wirft Luxemburg vor, diese bislang nicht umgesetzt zu haben. Die Frist dafür sei bereits im Oktober 2024 abgelaufen.
Misryoum zeigt damit, wie eng technische Krisen und politische Umsetzung zusammenhängen: Wer Versorgungssicherheit ernst nimmt, muss Regeln nicht nur beschließen, sondern rechtlich verankern.
Nach einem Mahnschreiben und einer formellen Stellungnahme sieht Brüssel den Punkt erreicht, an dem weitere Schritte vor dem Europäischen Gerichtshof nötig sind.. Luxemburg steht dabei nicht allein, auch andere Länder werden mit dem gleichen Vorwurf konfrontiert: Frankreich, die Niederlande, Polen, Spanien, Schweden und Bulgarien.
Was die CER-Richtlinie verlangt, ist im Kern ein systematischer Ansatz: Betreiber kritischer Dienste sollen Risiken regelmäßig analysieren, Schwachstellen identifizieren und Maßnahmen treffen, um sich gegen verschiedene Störszenarien zu wappnen.. Dazu gehören ausdrücklich nicht nur Cyberangriffe, sondern auch Ereignisse wie Naturkatastrophen, Terror, Sabotage oder Angriffe durch kriminelle Netzwerke.
Der Bezug zum Post-Vorfall ist dabei offensichtlich. Der damals betroffene Angriff zielte offenbar auf eine Schwachstelle in einem weitverbreiteten Softwarebestandteil, was einen Dominoeffekt begünstigt haben soll. Wer den Angriff durchführte, ist weiterhin unklar.
Misryoum macht deutlich, warum das juristische Verfahren mehr ist als Bürokratie: Ohne klare Pflichten und verbindliche Standards bleibt Resilienz im Ernstfall oft zu langsam oder zu ungleich umgesetzt.
Kommt Luxemburg der Umsetzung nicht nach, können am Ende auch Geldstrafen drohen. Brüssel setzt damit auf Druck, der über die Ebene der Krisenkommunikation hinausgeht. Die Botschaft ist klar: Eine Krisenzelle im Moment der Störung ersetzt keine dauerhafte, gesetzlich abgesicherte Vorbereitung.
Zum Abschluss bleibt abzuwarten, wie Luxemburg auf das Verfahren reagiert und ob der Gesetzgeber die CER-Anforderungen nun zügig nachzieht. Für eine nationale Sicherheitslage, die im Alltag auf verlässlichen Infrastrukturen beruht, ist das ein Prüfstein.