17.12.2023 / Fachbeitrag

NIS2-Richtlinie: Neue Cybersecurity-Pflichten

Meldungen über Cyberattacken auf Unternehmen findet man inzwischen fast täglich in der Presse. Die Europäische Union betreibt daher seit dem letzten Jahr intensiv den Aufbau eines neuen Gerüsts von Cybersicherheitsregelungen und entsprechenden Anforderungen an Unternehmen. Teil dieser Strategie ist die sogenannte NIS2-Richtlinie, die zukünftig deutlich mehr Unternehmen betrifft als nur die bisher bekannten Kritis-Betreiber. Und auch die neuen Haftungs sowie Sanktionsregelungen haben es in sich und sind einen Blick wert.

Was ist zu tun?

Wie bereits die Vorgängerrichtlinie sieht die NIS2 diverse Pflichten für die wesentlichen und wichtigen Einrichtungen vor, allerdings ohne dabei zwischen wesentlichen oder wichtigen Einrichtungen zu unterscheiden. Die Einstufung als wesentlich oder wichtig wird erst bei den Maßnahmen der Aufsichtsbehörden relevant.

Art. 21 der NIS2 regelt, ähnlich der DSGVO, dass die betroffenen Einrichtungen „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten“. Die Richtlinie sieht dazu in Art. 27 Abs. 2 Mindestmaßnahmen vor, zu denen auch „Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme“ sowie „Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit“ gehören. Unternehmen müssen daher über ein funktionierendes Incident Response Management verfügen, welches zum einen Präventionsmaßnahmen und zum anderen angemessene Notfallmaßnahmen sowie einen gesicherten Prozess für den Umgang mit Sicherheitsvorfällen sicherstellt. Aus Art. 21 Abs. 2 NIS2 ergibt sich aber auch, dass es nicht nur um Gefahren geht, die sich aus Cyberbedrohungen ergeben, sondern auch um physische Gefahren für Netz- und Informationssysteme sowie die Umwelt dieser Systeme.

Nach Art. 24 NIS2 können die Mitgliedstaaten Einrichtungen zudem dazu verpflichten, spezielle IKT-Produkte, -Dienste und Prozesse zu verwenden, die von der Einrichtung entwickelt oder von Dritten beschafft werden und die im Rahmen europäischer Schemata für die Cybersicherheitszertifizierung zertifiziert sind (siehe Artikel 49 der Verordnung (EU) 2019/881), um die Erfüllung bestimmter in Art. 21 genannter Anforderungen nachzuweisen. Sofern ein unzureichendes Cybersicherheitsniveau festgestellt wird, ist die Kommission zudem nach Art. 24 Abs. 2 NIS2 ermächtigt, im Rahmen von Durchführungsrechtsakten festzulegen, welche Kategorien wesentlicher und wichtiger Einrichtungen zur Nutzung vorgenannter Produkte, Verfahren und Dienste zu verpflichten sind.

Der NIS2 unterliegende Einrichtungen müssen zudem zukünftig Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Erbringung der Dienste hat, melden. In besonders schweren Fällen müssen auch die Nutzer und ggfs. sogar die Öffentlichkeit informiert werden. Betroffene Einrichtungen müssen daher prüfen, ob die vorhandene Krisenkommunikation die gesetzlichen Pflichten erfüllen kann.

Chefsache Cybersecurity

Nach der NIS2 trägt die Geschäftsleitung des Unternehmens die zentrale Verantwortung für das Risikomanagement und die Umsetzung von Cybersicherheitsmaßnahmen. Sie muss daher verpflichtend an Cybersicherheits-Schulungen teilnehmen und sicherstellen, dass Awareness-Maßnahmen durchgeführt und auch allen Mitarbeitenden entsprechende Schulungen angeboten werden. Die Mitgliedsstaaten müssen nach Art. 20 Abs. 1 NIS2 sicherstellen, dass die Leitungsorgane von Unternehmen, die über die Maßnahmen zur Einhaltung der Cybersicherheitspflichten gemäß Art. 21 NIS2 entscheiden, direkt haftbar gemacht werden können. Nach dem derzeitigen Entwurf des NIS2UmsuCG und der Entwurfsfassung des § 2 Abs. 1 Nr. 11 BSIG zählen diejenigen natürlichen Personen zur Geschäftsleitung, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer Einrichtung berufen sind. Dies umfasst u. a. den Vorstand einer AG, Geschäftsführer der GmbH, Vorstände oder besondere Vertreter eines Vereins sowie die Leitungspersonen in öffentlichen Einrichtungen, etwa die Behördenleitung.

Neben Art. 20 enthalten auch Art. 32 Abs. 6 und 33 Abs. 5 NIS2 Regelungen zur persönlichen Haftung von Leitungsorganen. Was den konkreten Sorgfaltsstandard angeht, wird es jedoch im besonderen Maße auf die konkrete nationale Umsetzungsgesetzgebung ankommen, da die NIS2 einen solchen nicht festlegt.

Was ist zu tun?

Chefsache Cybersecurity

E-Magazin / Heftarchiv

Service

Sie haben noch Fragen?

Cookiename:	waconcookiemanagement
Laufzeit:	1 Jahr

Cookiename:	be_, fe_
Laufzeit:	24 Stunden

Cookiename:	energie_uxid
Laufzeit:	24 Stunden

Anbieter:	Google
Cookiename:	Google Maps API
Datenschutzlink:	https://www.google.com/intl/de_de/help/terms_maps/
Host:	https://developers.google.com

Was ist zu tun?

Chefsache Cybersecurity

Wir verwenden Cookies

Datenschutzeinstellungen

Notwendige Cookies

Cookies für Externe Inhalte