Alle Unternehmen, die digitale Dienste anbieten, sollten die Richtlinie (EU) 2022/2555 vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, abgekürzt NIS-2-Richtlinie, kennen. Es handelt sich dabei um eine EU-Richtlinie, die das Niveau der Cyberresilienz in der Union stärken soll. Die bisherige NIS-Richtlinie, die bereits ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der Union gewährleisten sollte, wird dadurch ersetzt.
Anwendungsbereich erfasst viele digitale Dienste
Wichtig ist das deshalb, da die neue NIS-2-Richtlinie einen weitaus größeren Anwendungsbereich als die NIS-Richtlinie hat. Denn die NIS-2-Richtlinie erfasst beispielsweise auch digitale Dienste, wie Cloud-Computing-Dienste.
In Anhang 1 zur NIS-2-Richtlinie befindet sich eine Aufzählung der als kritisch eingestuften Sektoren. Dazu zählen bspw. in Ziffer 8 auch digitale Infrastrukturen, wie:
- Betreiber von Internet-Knoten
- DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
- TLD-Namenregister
- Anbieter von Cloud-Computing-Diensten
- Anbieter von Rechenzentrumsdiensten
- Betreiber von Inhaltszustellnetzen
- Vertrauensdiensteanbieter
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder
- Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
Damit fallen wesentliche Bereiche digitaler Dienste künftig unter die Richtlinie.
Wir prüfen, ob Sie in den Anwendungsbereich der NIS-2-Richtlinie fallen. Danach beraten wir Sie, was zu tun ist und welche Maßnahmen zu treffen sind. Nehmen Sie jetzt Kontakt mit uns auf.
Viele Pflichten für Unternehmen
Ist die NIS-2-Richtlinie für Ihr Unternehmen anwendbar, dann gibt es eine Vielzahl an Pflichten zu kennen und umzusetzen. In erster Linie muss man sich registrieren, wenn das Unternehmen unter die Richtlinie fällt. Unterbleibt die Registrierung, stellt alleine das eine sanktionierten Verstoß dar.
Aber es gibt weitere wichtige Punkte. So ist zum Beispiel eine Risikoabwägung erforderlich und es muss ein Risikomanagement etabliert werden, um Störungen der IT-Systeme zu vermeiden und Auswirkungen von Sicherheitsvorfällen zu minimieren. Außerdem gibt es Nachweis- und Meldepflichten zu beachten und die Liferkettensicherheit muss gewährleistet werden.
Unbeschränkte persönliche Haftung der Geschäftsführung
Für alle Mitglieder der Geschäftsführung ist die Richtlinie allein deswegen wichtig, weil im deutschen Umsetzungsgesetz (§ 38 Absatz 1 BSIG-Neu) eine unbeschränkte persönliche Haftung für die Geschäftsführung geregelt ist, wenn gegen die Pflicht zur Billigung, Einführung und Überwachung von Risikomanagementmaßnahmen verstoßen wird.
Alle Unternehmen mit digitalen Dienste tun also gut daran, sich schnellstmöglich mit der Thematik zu befassen und entsprechende rechtliche Unterstützung zu sichern. Dafür sind wir jederzeit für Sie da.
Wir führen Sie durch den gesamten Prozess der Umsetzung der NIS2-Anforderungen und unterstützen Sie mit unserem rechtlichen Knowhow.
Unsere Checkliste zur Prüfung
Mit der folgenden Checkliste können Sie in Ihrem Unternehmen vorgehen:
(1) Projektteam bestimmen. Beteiligung aller wichtigen Stakeholder (IT, Legal, Management etc.)
(2) Assessment: Prüfung Anwendbarkeit NIS2 und Feststellung der konkreten Pflichten für Unternehmen
(3) Etablierung Governance-Struktur (Festlegung Ansprechpartner gegenüber Behörden und Prozesse bei Cybervorfällen) & Registrierung bei Behörde.
(4) Risikoanalyse und Ermittlung Schutzbedarf. Ausarbeitung konkreter Maßnahmen. Orientierung am Stand der Technik mit einschlägigen Normen und best practices. Dokumentation.
(5) Umsetzung der Maßnahmen und fortlaufendes Monitoring und Verbesserung. Dokumentation.
Beratung
Timo Schutt
Fachanwalt für IT-Recht
Ich unterstütze und berate Sie zur Nis-2-Richtlinie.
