I. Die Entwicklung der NIS2 Richtlinie:
Ein Blick in die Geschichte
Im Jahr 2016 legte die Europäische Union den Grundstein für ein einheitliches
Cybersicherheitskonzept mit der Network- and-Information-Security-Richtlinie (NIS1-RL). Der deutsche Gesetzgeber setzte dies 2017 durch das IT-Sicherheitsgesetz um und erweiterte 2021 die Pflichten mit dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0). Die jüngste Entwicklung, die NIS2-Richtlinie, verabschiedet im Dezember 2022, revolutioniert die Cybersicherheitsanforderungen in der gesamten EU. Deutschland hat bis zum 17.Oktober 2024 Zeit, diese Richtlinie in nationales Recht zu überführen. II. Für wen gilt die NIS2Richtlinie?
Die NIS2-Richtlinie richtet sich grundsätzlich an Unternehmen mit mindestens 50 Beschäftigten oder über 10 Mio. EUR Jahresumsatz bzw. Jahresbilanzsumme, die von der EU als „wesentliche“ oder „wichtige Einrichtungen“ eingestuft werden. Dabei spielen Faktoren wie Beschäftigtenanzahl und Umsatz eine entscheidende Rolle. Die betroffenen Sektoren erstrecken sich über elf kritische und sieben wichtige Einrichtungen, darunter Energie, Bankwesen, Gesundheitswesen, digitale Infrastruktur und mehr.
 III. Veränderungen gegenüber der vorherigen Rechtslage
Die NIS2-Richtlinie erweitert nicht nur den Anwendungsbereich auf insgesamt
achtzehn Sektoren, sondern legt auch einen verstärkten Fokus auf die Cybersicherheit in Lieferketten. Damit werden über den direkten Anwendungsbereich
hinaus indirekt auch sämtliche Unternehmen erfasst, die für eine wesentliche oder wichtige Einrichtung in der Lieferkette tätig sind und selbst nicht direkt der
Richtlinie unterfallen würden. Zudem stehen nun auch die Unternehmen im verarbeitenden Gewerbe und Anbieter digitaler Dienste ebenfalls im Blickpunkt. V. Zentrale Pflichten der Richtlinie
Unternehmen, die von der NIS2-Richtlinie betroffen sind, müssen in jedem Fall umfassende Maßnahmen im Bereich des aktiven Risikomanagements ergreifen. Dies beinhaltet ausdrücklich die Ausarbeitung von Richtlinien für Risikoanalysen, Sicherheitskonzepte, Business
Continuity, Incident Management, Sicherheitsmaßnahmen bei Erwerb und Entwicklung von Informationssystemen, Schulungen, Verschlüsselung und vieles mehr. | Damit setzt die Richtlinie quasi einen umfassenden Cybersicherheitsplan inkl. Notfallplanung voraus. V. Sanktionen für Nichteinhaltung: per
sönliche Haftung und Tätigkeitsverbot
drohen
Die NIS2-RL sieht sowohl Bußgelder für Unternehmen als auch Maßnahmen gegen Führungskräfte vor. Die Bußgelder können bei Verstößen gegen Risikomanagementmaßnahmen bis zu 7 Mio. EUR bzw. 1,4 % des Vorjahresumsatzes bei wichtigen Einrichtungen und bis zu 10 Mio. EUR bzw. 2 % des Vorjahresumsatzes bei wesentlichen Einrichtungen betragen. Führungskräfte können durch die zuständige Behörden oder das Gericht bei Nichtbefolgung von Aufsichtsmaßnahmen sogar vorübergehend von Leitungsaufgaben ausgeschlossen werden. VI. Praktische Konsequenzen und Schutzmaßnahmen
Die NIS2-Richtlinie macht deutlich, dass Cybersicherheit und Risikoprävention
als Verantwortung des Managements gelten. Die Einhaltung von Risikomanagementmaßnahmen muss vom obersten Management überwacht werden, und
Verstöße können persönliche Konsequenzen haben. Eine aktualisierte IT-Sicherheitsstrategie wird somit zur Pflicht. Der beste Schutz bietet eine Kombination aus effektiven Präventions- und Krisenbewältigungsmaßnahmen einerseits und Versicherungslösungen andererseits, wie Cyber- und D&O-Versicherung. Um hier Haftungsfallen durch eine Vielzahl von Dienstleistern zu vermeiden, bietet es sich an, sich hier möglichst eines Sammeldienstleisters, wie dem Expertennetzwerk Unternehmensresilienz (ENUR), zu bedienen, welches aus sich heraus in der Lage ist alle wesentlichen Bereiche abzudecken. Ihr persönlicher Ansprechpartner:
Frederik C. Köncke
koencke@rsvm-gruppe.de |
