27.06.2024

NIS 2 Richtlinie – Standards der Cybersecurity im (mittelständischen) Unternehmen

Bereits Ende 2022 hat die EU die NIS 2 Richtlinie verabschiedet und damit die Harmonisierung verbindlicher Cybersecurity-Standards innerhalb der EU auf den Weg gebracht. Will Deutschland kein Vertragsverletzungsverfahren riskieren, wird die Richtlinie bis Oktober 2024 in Deutschland umgesetzt sein. Ein Referentenentwurf liegt bereits vor. Das Wichtigste hierzu in Kürze:

Wen betrifft die NIS 2 Richtlinie?
Der Gesetzgeber kategorisiert Unternehmen und öffentliche Institutionen je nach Sektor, Mitarbeiteranzahl und Jahresumsatz in Betreiber wichtiger, besonders wichtiger und kritischer Anlagen. Kurz gesagt: Je sensibler der Sektor und je größer das Unternehmen, desto mehr Pflichten werden auferlegt. Jedem Unternehmer ist daher zu empfehlen, bis Oktober 2024 zu prüfen, ob und inwieweit man von der NIS 2 Richtlinie bzw. deutschen Umsetzungsgesetz betroffen ist und was zu tun ist.
Was regelt die NIS 2 Richtlinie?
Es werden Standards festgelegt, die das Unternehmen je nach Kategorisierung einzuhalten hat. Hierzu zählen Risikomanagementmaßnahmen, wie zum Beispiel, das Erstellen von Konzepten zur Risikoanalyse und Sicherheit der IT, Backup-Management oder die Gewährleistung der Sicherheit innerhalb einer Lieferkette. Daneben werden aber auch verschiedene Melde-, Registrierungs- und Unterrichtungspflichten begründet.
Bemerkenswert ist an dieser Stelle, dass der Referentenentwurf die jeweiligen Geschäftsleitungen in die Pflicht nimmt, sich mit dem Thema auseinanderzusetzen: Geschäftsleitungen werden verpflichtet, regelmäßig an Schulungen zur Cybersecurity zu absolvieren.
Und wenn die Anforderungen der NIS 2 im Unternehmen nicht umsetzt werden?
Auch Sanktionen in Form von Bußgeldvorschriften sind im Referentenentwurf des Umsetzungsgesetzes vorgesehen. Bußgelder in Höhe von bis zu 10 Mio. € bzw. 2 % des Jahresumsatzes können je nach Verstoß und Größe und Sektor des Unternehmens verhängt werden.
Problematischer ist aus unserer Sicht jedoch der Wettbewerbsnachteil, der entsteht, wenn geltendes Recht nicht oder nur unzureichend umgesetzt wird. Es ist davon auszugehen, dass zukünftig Geschäftspartner noch genauer hinschauen, mit welchen Akteuren sie in der Lieferkette oder bei M & A Deals zu tun haben.

Weitere Beiträge