Neue Cybersecurity-Pflichten für Unternehmen – Was gilt mit der NIS-2-Richtlinie?

Bis zum 17. Oktober 2024 müssen die EU-Mitgliedsstaaten die Richtlinie „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ (NIS-2-Richtlinie) umgesetzt haben. Mit der Umsetzung kommen neue umfangreiche Pflichten auf Unternehmen zu und es sind Unternehmen betroffen, die bisher von derartigen Anforderungen nicht betroffen waren.

Die Europäische Union reagiert mit der NIS-2-Richtlinie und dem ebenfalls in den Startlöchern stehenden Cyber Resilience Act auf die fortschreitende Bedrohungslage und setzt verbindliche Standards zur Cybersicherheit.

Wer ist betroffen?

Dem Anwendungsbereich der NIS-2-Richtlinie unterfallen alle Unternehmen, die über 50 Personen beschäftigen, einen Jahresumsatz bzw. eine Jahresbilanz von über 10 Mio. EUR haben und einem der in der Richtlinie genannten kritischen Sektoren unterfallen. Und hier zeigt sich bereits die erste deutliche Erweiterung, den es wurden sowohl neue wesentliche Sektoren wie z.B. die Verwaltung von IKT-Diensten eingeführt, als auch Ergänzungen der bisherigen Sektoren vorgenommen. Auch bei den wichtigen Sektoren gab es deutliche Erweiterungen. So fällt künftig die Herstellung von Waren in allen Bereichen in diese Sektoren.

Was ist zu tun?

Art. 21 der NIS-2-Richtlinie regelt, ähnlich der DSGVO, dass die betroffenen Einrichtungen „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten“. Die Richtlinie sieht dazu in Art. 21 Absatz 2 Mindestmaßnahmen vor, zu denen auch „Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme“ sowie „Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit“ gehören. Unternehmen müssen daher über ein funktionierendes Incident Response Management verfügen, welches zum einen Präventionsmaßnahmen und zum anderen angemessene Notfallmaßnahmen und einen gesicherten Prozess für den Umgang mit Sicherheitsvorfällen sicherstellt.

Der NIS-2-Richtlinie unterliegende Einrichtungen müssen zudem zukünftig Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Erbringung der Dienste hat melden. In besonders schweren Fällen müssen auch die Nutzer und ggfs. sogar die Öffentlichkeit informiert werden. Betroffene Einrichtungen müssen daher prüfen, ob die Krisenkommunikation die gesetzlichen Pflichten erfüllen kann.

Chefsache Cybersecurity

Nach der NIS-2-Richtlinie trägt die Geschäftsführung des Unternehmens die zentrale Verantwortung für das Risikomanagement und die Umsetzung von Cybersicherheitsmaßnahmen. Sie muss daher verpflichtend an Cybersicherheits-Schulungen und sicherstellen, dass Awareness-Maßnahmen durchgeführt und auch allen Mitarbeitenden entsprechende Schulungen angeboten werden. In Fällen der Nichteinhaltung droht eine persönliche Haftung der Geschäftsführung.

Kontroll- und Sanktionsmaßnahmen

Mit der NIS-2-Richtlinie erhalten die nationalen Behörden eine Vielzahl an Kontroll- und Sanktionsmöglichkeiten. Darüber hinaus werden die nationalen Behörden auch befugt sein, Warnungen über Verstöße herauszugeben. So haben Behörden auch das Recht öffentliche Warnungen über Verstöße zu Einrichtungen herauszugeben. Bei Verstößen drohen Unternehmen zudem Bußgelder von bis zu 10 Mio. EUR oder 2% des gesamten weltweiten Jahresumsatzes.

Sie wollen wissen, ob Sie von der NIS-2-Richtlinie betroffen sind oder haben Fragen? Benötigen Sie Unterstützung bei der Umsetzung von Maßnahmen? Wir unterstützen Sie gern. Sprechen Sie uns an.

Autor

Stephan Schmidt
Stephan Schmidt

Partner, Fach­an­walt für In­for­ma­ti­ons­tech­no­lo­gie­recht, CIPP/E

TCI Rechts­an­wäl­te Mainz

  • Twitter
  • LinkedIn