Bis zum 17. Oktober 2024 müssen die EU-Mitgliedsstaaten die Richtlinie „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ (NIS-2-Richtlinie) umgesetzt haben. Mit der Umsetzung kommen neue umfangreiche Pflichten auf Unternehmen zu und es sind Unternehmen betroffen, die bisher von derartigen Anforderungen nicht betroffen waren. Die Europäische Union reagiert mit der NIS-2-Richtlinie und dem ebenfalls in den Startlöchern stehenden Cyber Resilience Act auf die fortschreitende Bedrohungslage und setzt verbindliche Standards zur Cybersicherheit.
Wer ist betroffen?
Dem Anwendungsbereich der NIS-2-Richtlinie unterfallen alle Unternehmen, die über 50 Personen beschäftigen, einen Jahresumsatz bzw. eine Jahresbilanz von über 10 Mio. EUR haben und einem der in der Richtlinie genannten kritischen Sektoren unterfallen. Und hier zeigt sich bereits die erste deutliche Erweiterung, den es wurden sowohl neue wesentliche Sektoren wie z.B. die Verwaltung von IKT-Diensten eingeführt, als auch Ergänzungen der bisherigen Sektoren vorgenommen. Auch bei den wichtigen Sektoren gab es deutliche Erweiterungen. So fällt künftig die Herstellung von Waren in allen Bereichen in diese Sektoren.
Was ist zu tun?
Art. 21 der NIS-2-Richtlinie regelt, ähnlich der DSGVO, dass die betroffenen Einrichtungen „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten“. Die Richtlinie sieht dazu in Art. 21 Absatz 2 Mindestmaßnahmen vor, zu denen auch „Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme“ sowie „Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit“ gehören. Unternehmen müssen daher über ein funktionierendes Incident Response Management verfügen, welches zum einen Präventionsmaßnahmen und zum anderen angemessene Notfallmaßnahmen und einen gesicherten Prozess für den Umgang mit Sicherheitsvorfällen sicherstellt.
Der NIS-2-Richtlinie unterliegende Einrichtungen müssen zudem zukünftig Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Erbringung der Dienste hat melden. In besonders schweren Fällen müssen auch die Nutzer und ggfs. sogar die Öffentlichkeit informiert werden. Betroffene Einrichtungen müssen daher prüfen, ob die Krisenkommunikation die gesetzlichen Pflichten erfüllen kann.
Chefsache Cybersecurity
Nach der NIS-2-Richtlinie trägt die Geschäftsführung des Unternehmens die zentrale Verantwortung für das Risikomanagement und die Umsetzung von Cybersicherheitsmaßnahmen. Sie muss daher verpflichtend an Cybersicherheits-Schulungen und sicherstellen, dass Awareness-Maßnahmen durchgeführt und auch allen Mitarbeitenden entsprechende Schulungen angeboten werden. In Fällen der Nichteinhaltung droht eine persönliche Haftung der Geschäftsführung.
Kontroll- und Sanktionsmaßnahmen
Mit der NIS-2-Richtlinie erhalten die nationalen Behörden eine Vielzahl an Kontroll- und Sanktionsmöglichkeiten. Darüber hinaus werden die nationalen Behörden auch befugt sein, Warnungen über Verstöße herauszugeben. So haben Behörden auch das Recht öffentliche Warnungen über Verstöße zu Einrichtungen herauszugeben. Bei Verstößen drohen Unternehmen zudem Bußgelder von bis zu 10 Mio. EUR oder 2% des gesamten weltweiten Jahresumsatzes.
Sie wollen wissen, ob Sie von der NIS-2-Richtlinie betroffen sind oder haben Fragen? Benötigen Sie Unterstützung bei der Umsetzung von Maßnahmen? Wir unterstützen Sie gern. Sprechen Sie uns an.
Dr. Michael Karger, Fachanwalt für Informationstechnologierecht, Fachanwalt für Verwaltungsrecht und Partner bei TCI Rechtsanwälte München, referiert auf den Kölner Tagen IT-Recht zum Thema „Beschaffung von Software und IT-Komponenten: Zählt die Konformität mit den Anforderungen des IT-Sicherheits-Gesetzes zur geschuldeten Sollbeschaffenheit?“
Der Vortrag befasst sich mit den gesetzlichen Anforderungen an
- Betreiber Kritischer Infrastrukturen,
- Anbieter von Telemediendiensten und
- Anbieter Digitaler Dienste
und deren Pflicht, sicherheitskonforme IT-Systeme und Komponenten zu beschaffen.
Um das gesetzlich geforderte Sicherheitsniveau einzuhalten, müssen die IT-Systeme und Leistungen dem „Stand der Technik“ entsprechen. Hierzu wird erläutert, was unter diesem Begriff zu verstehen ist und welche Hilfestellungen und Handreichungen herangezogen werden können, um die abstrakten Anforderungen des Gesetzes mit konkreten Maßnahmen umzusetzen.
Unternehmen, die unter die Anforderungen des IT-Sicherheitsrechts fallen, sind gehalten, bei der Beschaffung entsprechender IT-Systeme und Komponenten dafür Sorge zu tragen, dass diese „sicherheits-konform“ sind. Deswegen geht der Vortrag auch der Frage nach, ob die Anbieter von IT-Systemen und Komponenten, insbesondere auch von Software, nunmehr „automatisch“ dazu verpflichtet sind, Produkte zu liefern, die den gesetzlichen Anforderungen der IT-Sicherheit entsprechen oder ob die Sicherheits-Konformität nur dann zur geschuldeten Sollbeschaffenheit gehört, auch wenn hierzu im Vertrag ausdrückliche Vereinbarungen getroffen wurden.
Dr. Michael Karger springt mit seinem Vortrag für Herrn Martin Schallbruch ein, der ursprünglich als Referent vorgesehen war.
Die Kölner Tage IT-Recht finden am 30. und 31. März 2017 statt und werden vom Verlag Dr. Otto Schmidt, Herausgeber der Zeitschrift „Computer und Recht“ veranstaltet.
