CYBERSICHERHEIT UND DATENSCHUTZ: UMSETZUNGSPFLICHT DER NEUEN NIS2-RICHTLINIE BIS OKTOBER 2024

cybersecurity privacy protection concept. information security and encryption, secure access to user’s personal information, secure Internet access, cybersecurity.
Ist Ihr Unternehmen betroffen und was kommt auf Sie zu?
Was ist die NIS2-Richtlinie?

Die zunehmende Digitalisierung hat die Abhängigkeit von digitalen Infrastrukturen verstärkt, was gleichzeitig das Risiko von Cyberbedrohungen erhöht. Mit dem Referentenentwurf zum „NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetzes“ (NIS2UmsuCG) soll das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) geändert und die NIS2-Richtlinie bis Oktober 2024 ohne Umsetzungsfrist für die betroffenen Unternehmen umgesetzt werden.

Die neue Gesetzgebung führt zu einer folgenschweren Reform des europäischen und damit auch deutschen IT-Sicherheitsrechts. Sie betrifft eine Vielzahl von Unternehmen (ca. 30.000 nach Schätzungen des BMI) aus unterschiedlichsten Sektoren und verpflichtet diese, erhebliche Maßnahmen zum Schutz der Netz- und Informationssicherheit zu ergreifen.

Welche Sektoren fallen in den Anwendungsbereich?
Welche Änderungen stehen bevor?

Sofern Ihr Unternehmen in den Anwendungsbereich des aktuellen oder geänderten BSIG fällt, hat dies weitreichende Folgen:

  • Pflicht zum Cyber-Risikomanagement: Unternehmen müssen eine Risikobewertung durchführen und Mindestsicherheitsanforderungen erfüllen, um die Widerstandsfähigkeit ihrer digitalen Systeme gegenüber Cyberbedrohungen zu gewährleisten.
  • Verschärfte Meldepflichten für Sicherheitsvorfälle: Unternehmen werden verpflichtet, erhebliche Sicherheitsvorfälle zu melden.
  • Verschärfte Sanktionen: Es werden verschärfte Sanktionen von bis zu EUR 10 Mio. bzw. 2% des weltweiten Jahresumsatzes bei Verstoß gegen die Vorschriften festgelegt.
  • Strengere Regelungen zur Organhaftung: Aktueller Referentenentwurf sieht eine Haftung der Organe mit dem Privatvermögen vor sowie die Unwirksamkeit eines Anspruchsverzichts des Unternehmens bzw. eines Vergleichs.
Was ist zu tun?
  • Prüfung und Beurteilung der eigenen Betroffenheit
  • GAP-Analyse zur Feststellung des Umsetzungsbedarfs
  • Mögliche Umsetzungsmaßnahmen:
    • Erstellung von Notfallplänen, Business Continuity Plänen etc.
    • Implementierung von Meldeverfahren
    • Durchführung von Schulungen und Erstellen von Richtlinien für Mitarbeiter
    • Überprüfung von Synergien zu anderen Compliance-Themen (z.B. Datenschutz, Geschäftsgeheimnisschutz)
    • Überprüfung von Verträgen und gegebenenfalls neue Vertragsgestaltung (z.B. Sicherheit in der Lieferkette, Versicherungsschutz)

    Sie haben Fragen oder Anregungen zum Artikel?

    Jetzt Kontakt aufnehmen:





    * Pflichtfeld

    Ähnliche Beiträge