Cybersicherheits-Richtlinie NIS2 verstehen: Bußgelder und eventuelle private Haftungen der Geschäftsführung vermeiden
Die neue EU-Richtlinie NIS2, die im Dezember 2020 verabschiedet wurde, zielt darauf ab, die Cybersicherheit innerhalb der Europäischen Union erheblich zu verbessern. Die Richtlinie baut auf der ursprünglichen NIS-Richtlinie (Network and Information Security) von 2016 auf und bringt erweiterte Anforderungen für Unternehmen mit sich, die als essenziell für die kritische Infrastruktur angesehen werden. In diesem Artikel erklären wir, was NIS2 bedeutet, welche Bußgelder drohen und wie die Geschäftsführung potenzielle Haftungen vermeiden kann.
Was ist NIS2?
NIS2 steht für die überarbeitete Richtlinie zur Netzwerk- und Informationssicherheit, die darauf abzielt, die Resilienz und die Fähigkeiten zur Bewältigung von Cyber-Bedrohungen in der EU zu stärken. Die Richtlinie erweitert den Anwendungsbereich und die Anforderungen der ursprünglichen NIS-Richtlinie und berücksichtigt neue technologische Entwicklungen sowie die zunehmende Abhängigkeit von digitalen Infrastrukturen.
Erweiterter Anwendungsbereich
NIS2 umfasst nun eine breitere Palette von Sektoren, einschließlich des Energiesektors, der Gesundheitsversorgung, der Finanzmärkte, des Verkehrs und der öffentlichen Verwaltung. Unternehmen in diesen Bereichen müssen nun strenge Cybersicherheitsmaßnahmen implementieren und ihre IT-Infrastruktur besser gegen Cyberangriffe absichern.
Strengere Sicherheitsanforderungen
Unternehmen müssen technische und organisatorische Maßnahmen ergreifen, um Risiken für Netzwerke und Informationssysteme zu managen. Dazu gehört auch die Einführung von Verfahren für das Management von Sicherheitsvorfällen sowie die Durchführung regelmäßiger Risikobewertungen und Audits.
Mögliche Bußgelder bei Nichteinhaltung
Die Nichteinhaltung der NIS2-Richtlinie kann erhebliche finanzielle Konsequenzen nach sich ziehen. Die Mitgliedstaaten der EU sind verpflichtet, Durchsetzungsmechanismen zu schaffen, die sicherstellen, dass die Unternehmen die Vorschriften einhalten. Zu den Sanktionen gehören:
Hohe Bußgelder: Unternehmen, die gegen die NIS2-Vorgaben verstoßen, können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist.
Verpflichtende Compliance-Berichte: Unternehmen müssen regelmäßig Berichte über ihren Sicherheitsstatus und eventuelle Vorfälle einreichen, um zu beweisen, dass sie die Anforderungen erfüllen.
Eventuelle private Haftungen der Geschäftsführung
Eine der wesentlichen Änderungen, die NIS2 mit sich bringt, ist die stärkere Betonung der Verantwortung der Geschäftsführung für die Cybersicherheit. Führungskräfte und Vorstandsmitglieder können bei Nichteinhaltung der Vorschriften persönlich haftbar gemacht werden. Dies bedeutet, dass sie nicht nur für finanzielle Verluste des Unternehmens, sondern auch für Schäden an Dritten verantwortlich gemacht werden können.
Verantwortung der Führungsebene
Die Geschäftsführung muss sicherstellen, dass in ihrem Unternehmen geeignete Sicherheitsstrategien entwickelt und umgesetzt werden. Dazu gehört auch die Bereitstellung ausreichender Ressourcen und Schulungen für die Mitarbeiter.
Persönliche Haftung vermeiden
Um persönliche Haftung zu vermeiden, sollten Führungskräfte aktiv an der Entwicklung und Umsetzung von Cybersicherheitsmaßnahmen beteiligt sein. Dazu gehört, dass sie sich regelmäßig über die neuesten Bedrohungen und Best Practices informieren und sicherstellen, dass ihr Unternehmen die Vorschriften einhält.
Fazit
Die NIS2-Richtlinie stellt einen wichtigen Schritt zur Verbesserung der Cybersicherheit in der EU dar. Unternehmen müssen sicherstellen, dass sie die neuen Anforderungen einhalten, um Bußgelder zu vermeiden und die persönliche Haftung der Geschäftsführung zu minimieren. Eine proaktive Herangehensweise und eine enge Zusammenarbeit zwischen IT-Abteilung und Geschäftsführung sind unerlässlich, um die Sicherheitsziele zu erreichen und die Resilienz gegen Cyberbedrohungen zu stärken.
Quellen
Europäische Kommission - NIS2-Richtlinie, Offizielle Seite der Europäischen Kommission zur NIS2-Richtlinie mit detaillierten Informationen zu den Anforderungen und Zielen: https://ec.europa.eu/digital-strategy/our-policies/nis2-directive_en
ENISA - European Union Agency for Cybersecurity, Berichte und Analysen zur Umsetzung der NIS2-Richtlinie und ihren Auswirkungen auf Unternehmen: https://www.enisa.europa.eu/topics/nis-directive
CMS Law - NIS2 Directive: What You Need to Know, Juristischer Überblick und praktische Hinweise zur Einhaltung der NIS2-Richtlinie, einschließlich möglicher Haftungsrisiken für Geschäftsführer: https://cms.law/en/int/publication/nis2-directive
ZDNet - New NIS2 Directive Explained Artikel, der die wichtigsten Änderungen und Anforderungen der NIS2-Richtlinie zusammenfasst: https://www.zdnet.com/article/what-you-need-to-know-about-the-new-nis2-directive/
https://www.wko.at/it-sicherheit/nis2-uebersicht