Kontroll und Sanktionsmaßnahmen

Mit der NIS2 erhalten die Behörden eine Vielzahl an Kontroll und Sanktionsmöglichkeiten. Darüber hinaus werden die nationalen Behörden auch befugt sein, öffentliche Warnungen über Verstöße herauszugeben.

Wenn eine wesentliche Einrichtung den Anweisungen einer Behörde nicht folgt, kann die Behörde nach Art. 32 Abs. 5 NIS2 als weitere Eskalationsstufe Zertifizierungen oder Genehmigungen für manche oder alle von der Einrichtung erbrachten entsprechenden Dienste oder Tätigkeiten vorübergehend aussetzen und einzelnen leitenden Personen ein Tätigkeitsverbot auferlegen, indem vorübergehend untersagt werden kann, Leitungsaufgaben in der Einrichtung wahrzunehmen.

Bei Verstößen drohen Unternehmen zudem Bußgelder von bis zu 10 Mio. € oder 2 % des gesamten weltweiten Jahresumsatzes.

Das deutsche NIS2-Umsetzungsgesetz

Seit dem 3.7.2023 liegt der aktuelle Referentenentwurf des NIS2-Umsetzungs und Cybersicherheitsstärkungsgesetz vor. Die zusätzliche Bezeichnung „Cybersicherheitsstärkungsgesetz“ lässt erkennen, dass der Entwurf über die Vorgaben der NIS2 hinausgeht und für Deutschland spezifische Neuerungen bringt. Dies ist möglich, weil die NIS2 den Ansatz der Vollharmonisierung, anders als noch die NIS-RL, aufgibt und sich auf eine Mindestharmonisierung beschränkt (Art. 5 NIS2). Das Umsetzungsgesetz wird als komplexes Änderungsgesetz die Vorschriften verschiedener anderer Gesetze und insbesondere des BSI-Gesetzes ändern und ergänzen. Da es sich derzeit nur um einen Referentenentwurf handelt, soll auf einzelne Regelungen an dieser Stelle nicht eingegangen werden. Es empfiehlt sich jedoch, die Entwicklungen im Auge zu behalten, denn bereits jetzt zeigen die geplanten Änderungen, dass der deutsche Gesetzgeber seinen Spielraum nutzen möchte, dabei allerdings teilweise auch die Regelungen der NIS2 verschärft und durch die Einführung eigener Definitionen und Abgrenzungen leider nicht immer für mehr Klarheit sorgt.

Experten für IT/IP-, Cybersicherheits- und Datenschutzrecht

TCI Rechtsanwälte ist eine auf die Beratung im Technologieumfeld spezialisierte Kanzlei mit Büros in Berlin, Mainz und München. Nationale und internationale Mandanten werden insbesondere in Fragen des IT-/IP-, Cybersicherheits- und Datenschutzrechts beraten und können auf fundiertes und mehrfach ausgezeichnetes Expertenwissen, gepaart mit langjähriger Praxiserfahrung, zurückgreifen.

Literatur

[1]  Ausführlich zum CRA Hessel/Callewaert, K&R 2022, 789 f.

[2]  Referentenentwurf abrufbar unter ag.kritis.info/2023/07/18/referentenentwurf-des-bmi-kritis-dachgesetz-kritis-dachg/.

[3]  Referentenentwurf vom 3. 7. 2023 abrufbar unter ag.kritis.info/2023/07/19/referentenentwurf-des-bmi-nis-2-umsetzungs-und-cybersicherheitsstaerkungsgesetz-nis2umsucg/.

[4]  TCI Rechtsanwälte, Mainz: www.tcilaw.de