NIS 2 Richtlinie – Standards der Cybersecurity im (mittelständischen) Unternehmen

Der Gesetzgeber kategorisiert Unternehmen und öffentliche Institutionen je nach Sektor, Mitarbeiteranzahl und Jahresumsatz in Betreiber wichtiger, besonders wichtiger und kritischer Anlagen. Kurz gesagt: Je sensibler der Sektor und je größer das Unternehmen, desto mehr Pflichten werden auferlegt. Jedem Unternehmer ist daher zu empfehlen, bis Oktober 2024 zu prüfen, ob und inwieweit man von der NIS 2 Richtlinie bzw. deutschen Umsetzungsgesetz betroffen ist und was zu tun ist.

Es werden Standards festgelegt, die das Unternehmen je nach Kategorisierung einzuhalten hat. Hierzu zählen Risikomanagementmaßnahmen, wie zum Beispiel, das Erstellen von Konzepten zur Risikoanalyse und Sicherheit der IT, Backup-Management oder die Gewährleistung der Sicherheit innerhalb einer Lieferkette. Daneben werden aber auch verschiedene Melde-, Registrierungs- und Unterrichtungspflichten begründet.

Bemerkenswert ist an dieser Stelle, dass der Referentenentwurf die jeweiligen Geschäftsleitungen in die Pflicht nimmt, sich mit dem Thema auseinanderzusetzen: Geschäftsleitungen werden verpflichtet, regelmäßig an Schulungen zur Cybersecurity zu absolvieren.

Auch Sanktionen in Form von Bußgeldvorschriften sind im Referentenentwurf des Umsetzungsgesetzes vorgesehen. Bußgelder in Höhe von bis zu 10 Mio. € bzw. 2 % des Jahresumsatzes können je nach Verstoß und Größe und Sektor des Unternehmens verhängt werden.

Problematischer ist aus unserer Sicht jedoch der Wettbewerbsnachteil, der entsteht, wenn geltendes Recht nicht oder nur unzureichend umgesetzt wird. Es ist davon auszugehen, dass zukünftig Geschäftspartner noch genauer hinschauen, mit welchen Akteuren sie in der Lieferkette oder bei M & A Deals zu tun haben.