NIS2 ersetzt die aktuelle NIS-Richtlinie und erweitert den Anwendungsbereich, die zu erfüllenden Pflichten und die Sanktionierung bei Pflichtverletzungen deutlich. Hiermit wird vor allem das BSI-Gesetz angepasst und erweitert. Spätestens bis zum 17.10.2024 müssen alle Anforderungen erfüllt sein.
Erweiterung des Anwendungsbereichs (§ 28)
Die Zahl der betroffenen Einrichtungen könnte sich durch den erweiterten Anwendungsbereich versechsfachen. Folgende Unternehmen sind betroffen:
"Besonders wichtige Einrichtungen"
Großunternehmen in den Sektoren:
- Energie
- Verkehr und Transport
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Ernährung
- Digitale Infrastruktur
- Abfall
- Verwaltung von Diensten der Informations- und Kommunikationstechnologie
- Öffentliche Verwaltung
- Weltraum
Mittlere Unternehmen:
- Telekommunikationsdienste
- Anbieter öffentlich zugänglicher Telekommunikationsnetze
Unabhängig der Unternehmensgröße gelten als besonders wichtig:
- Qualifizierte Vertrauensdienstleister
- Top Level Domain Name Registries
- DNS-Dienstleister
"Wichtige Einrichtungen"
Zu diesen zählen die Unternehmen im besonderen öffentlichen Interesse (UBI), Vertrauensanbieter, Rüstungsunternehmen, mittlere Unternehmen der oben genannten Sektoren sowie mittlere und Großunternehmen der Sektoren:
- Logistik
- Abfall
- Produktion
- Chemie
- Ernährung
- Verarbeitendes Gewerbe
- Anbieter digitaler Dienste
- Forschung
Pflichten (§ 30-39)
Im Zuge der Umsetzung von NIS2 werden die zu erfüllenden Pflichten aus dem BSI-Gesetz neu strukturiert und umfassen nun:
- Umsetzung von Risikomanagementmaßnahmen (Identifizierung von Risiken und Schwachstellen, Schulungen in der IT-Sicherheit etc.)
- Vorfallsmeldungen an das BSI
- Identifikation und Meldung beim BSI
- Prüfung zur Umsetzung und Nachweis an das BSI
- Kommunikation mit Behörden
- Verbindliche Vorgaben für Leitungsorgane
- Zusätzliche Anforderungen für kritische Anlagen
Sanktionen (§ 60)
Die Bußgelder werden deutlich erhöht und bewegen sich auf dem Niveau der DSGVO: bis zu 10 Millionen Euro oder 2 % des Vorjahresumsatzes (fehlende IT-Sicherheitsmaßnahmen).
Persönliche Haftung (§ 38)
Das NIS2-Umsetzungsgesetz sieht neben den hohen Bußgeldern für Unternehmen auch eine persönliche Haftung der Geschäftsleitung vor. Diese ist verpflichtet, die vorgeschriebenen Maßnahmen zum Risikomanagement zu billigen und die Umsetzung zu überwachen. Außerdem muss sie regelmäßig an Schulungen teilnehmen. Geschäftsleiter, welche diese Pflichten verletzen, haften persönlich für den entstandenen Schaden. Dieser umfasst sowohl Regressansprüche als auch Bußgeldforderungen. Darüber hinaus kann das BSI der Geschäftsleitung die Wahrnehmung von Leitungsaufgaben untersagen.
Was jetzt zu tun ist
Angesichts der Auswirkungen von NIS2 auf eine Vielzahl von Unternehmen, der zu erfüllenden Pflichten und den zu erwartenden Sanktionen sollten Unternehmen jetzt prüfen, ob und wie sie von der neuen Gesetzgebung betroffen sind. Da – ähnlich wie bei der Anwendung der DSGVO 2018 – eine sehr hohe Nachfrage an IT-Spezialisten zu erwarten ist, ist es für Unternehmen von entscheidender Bedeutung, jetzt proaktiv zu handeln.
Wir beraten Sie gerne bei der Identifizierung und Risikobeurteilung von Sicherheitslücken sowie deren Mitigation. In unseren Workshops und Webinaren sensibilisieren und befähigen wir Ihre Mitarbeiter im Bereich Informationssicherheit. Zu den europäischen Compliance-Regelungen (Digital Operational Resilience Act) bietet softScheck Webinare und Workshops – auch unternehmensintern und auf Vorstandsebene – an.