Ist Ihr Unternehmen betroffen und was kommt auf Sie zu?
Was ist die NIS2-Richtlinie?
Die zunehmende Digitalisierung hat die Abhängigkeit von digitalen Infrastrukturen verstärkt, was gleichzeitig das Risiko von Cyberbedrohungen erhöht. Mit dem Referentenentwurf zum „NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetzes“ (NIS2UmsuCG) soll das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) geändert und die NIS2-Richtlinie bis Oktober 2024 ohne Umsetzungsfrist für die betroffenen Unternehmen umgesetzt werden.
Die neue Gesetzgebung führt zu einer folgenschweren Reform des europäischen und damit auch deutschen IT-Sicherheitsrechts. Sie betrifft eine Vielzahl von Unternehmen (ca. 30.000 nach Schätzungen des BMI) aus unterschiedlichsten Sektoren und verpflichtet diese, erhebliche Maßnahmen zum Schutz der Netz- und Informationssicherheit zu ergreifen.
Welche Sektoren fallen in den Anwendungsbereich?
Welche Änderungen stehen bevor?
Sofern Ihr Unternehmen in den Anwendungsbereich des aktuellen oder geänderten BSIG fällt, hat dies weitreichende Folgen:
- Pflicht zum Cyber-Risikomanagement: Unternehmen müssen eine Risikobewertung durchführen und Mindestsicherheitsanforderungen erfüllen, um die Widerstandsfähigkeit ihrer digitalen Systeme gegenüber Cyberbedrohungen zu gewährleisten.
- Verschärfte Meldepflichten für Sicherheitsvorfälle: Unternehmen werden verpflichtet, erhebliche Sicherheitsvorfälle zu melden.
- Verschärfte Sanktionen: Es werden verschärfte Sanktionen von bis zu EUR 10 Mio. bzw. 2% des weltweiten Jahresumsatzes bei Verstoß gegen die Vorschriften festgelegt.
- Strengere Regelungen zur Organhaftung: Aktueller Referentenentwurf sieht eine Haftung der Organe mit dem Privatvermögen vor sowie die Unwirksamkeit eines Anspruchsverzichts des Unternehmens bzw. eines Vergleichs.
Was ist zu tun?
- Prüfung und Beurteilung der eigenen Betroffenheit
- GAP-Analyse zur Feststellung des Umsetzungsbedarfs
- Mögliche Umsetzungsmaßnahmen:
- Erstellung von Notfallplänen, Business Continuity Plänen etc.
- Implementierung von Meldeverfahren
- Durchführung von Schulungen und Erstellen von Richtlinien für Mitarbeiter
- Überprüfung von Synergien zu anderen Compliance-Themen (z.B. Datenschutz, Geschäftsgeheimnisschutz)
- Überprüfung von Verträgen und gegebenenfalls neue Vertragsgestaltung (z.B. Sicherheit in der Lieferkette, Versicherungsschutz)