Clarius.LegalNewsroom
- 11.10.24
- Lesedauer: 3 Minuten
NIS-2: Sanktions- und Haftungsrisiken für Unternehmen
Der nationale Gesetzgeber hat die NIS-2-Richtlinie ((EU) 2022/2555) bis zum 17.10.2024 in nationales Recht umzusetzen. Auch wenn dieser Termin kaum zu halten sein – die Regelungen kommen. Und sind absehbar. Also besteht Handlungsbedarf! Während der Anwendungsbereich der NIS-Richtlinie von 2016 noch eng auf kritische Infrastur beschränkt war, wird nun der Adressatenkreis deutlich erweitert. Es wird somit höchste Zeit für Unternehmen die für sie geltenden technischen, operativen und organisatorischen Anforderungen zu prüfen und Haftungsrisiken nach dem neuen Sanktionsregime in den Blick zu nehmen.
Was regelt die NIS-2-Richtlinie?
Allgemeines zur NIS-2-Richtlinie und ob diese auch für ihr Unternehmen gilt, haben wir bereits an anderer Stelle für Sie zusammengefasst: Wie setzen Unternehmen die NIS-2-Vorgaben zur Cybersicherheit um? (clarius.legal)oder NIS-2-Richtlinie Umsetzung und aktueller Stand in Deutschland (clarius.legal).
Welche Sanktionen sieht das Umsetzungsgesetz vor?
Der neue § 65 BSIG-RegE, sieht als eine der maßgeblichen aufsichtsbehördliche Maßnahme die Verhängung von Bußgeldern vor. Dabei orientiert sich der Gesetzgeber – anders als bisher nach der NIS-1-Rl und dem aktuellen BSIG – an der Höhe des weltweiten Jahresumsatzes sowie festen Obergrenzen. Es kommt somit zu einer Verschärfung der Bemessungsgrundlagen. Eine Abstufung erfolgt dabei zudem nach den verschiedenen Kategorien von Unternehmen nach § 28 BSIG- RegE („besonders wichtige“ oder „wichtige Einrichtungen“). Diese richten sich nach bestimmten Sektoren, in denen sich das Unternehmen betätigt, sowie der Unternehmensgröße.
Es drohen sogenannten „besonders wichtigen Einrichtungen“ Bußgelder in Höhe von bis zu 2 Prozent des weltweiten Umsatzes im vorangegangenen Geschäftsjahr bzw. bis zu 10 Mio. EUR und „wichtigen Einrichtungen“ in Höhe von bis zu 1,4 Prozent des weltweiten Umsatzes im vorangegangenen Geschäftsjahr oder von bis zu 7 Mio. EUR, je nachdem welcher Betrag höher ist. Dies gilt etwa für das Nichtbefolgen von behördlichen Anordnungen, von Dokumentations-/ Nachweispflichten und sonstige Nichterfüllung der geforderten technischen und organisatorischen Maßnahmen. (Zum Pflichtenprogramm im Überblick: NIS-2-Richtlinie Umsetzung und aktueller Stand in Deutschland (clarius.legal)). Hier muss im Einzelfall geprüft werden, welche Unternehmen mit welcher Konsequenz erfasst werden. Zu beachten ist hier, dass auch kleinere Unternehmen erfasst sein können, wenn sie besondere sektorspezifische Bedeutung haben.
Cybersicherheits- Compliance und Datenschutz?
Auch daneben muss bei Cybersicherheitsvorfällen beachtet werden, dass diese regelmäßig zugleich einen Verstoß gegen das Datenschutzrecht (z.B. Art. 32 DSGVO) darstellen könnten. Beide Themen müssen somit gemeinsam betrachtet werden. Eine doppelte Sanktionierung nach sowohl BSIG- RegE und DSGVO scheidet aber nach dem aktuellen § 65 Abs. 1 BSIG- RegE aus.
Persönliche Haftung der Geschäftsführung
Einen zusätzlichen Anreiz soll nach der NIS-2-Rl die persönliche Haftung der Geschäftsführung bieten. Dies hat die Bundesregierung nun in § 38 des BSIG-RegE verankert. Die Geschäftsführung ist selbst für die Umsetzung und Überwachung der Cybersicherheitsmaßnahmen hauptverantwortlich. Grundsätzlich haftet die Geschäftsführung ihrer Einrichtung persönlich auf diejenigen Schäden, die aus der Nichtumsetzung der nach § 30 BSIG-RegE notwendigen Risikomanagementmaßnahmen resultieren. Damit korrespondierend, sieht § 38 Abs.3 BSIG-RegE auch eine Fortbildungspflicht für die Geschäftsführung vor.
Fazit:
Neben den möglicherweise ohnehin großen wirtschaftlichen Schäden, welche durch Cyberangriffe an Unternehmen und Einrichtungen entstehen können, steht nun infolge der NIS-2-Richtlinie eine Ausweitung von Cybersicherheits-Compliance- rechtlichen Sanktionsmöglichkeiten unmittelbar bevor. Unternehmen sollten die Anforderungen der NIS-2-Rl. und des neuen BSIG deshalb ernstnehmen.
Gerne unterstützen wir Sie bei der Umsetzung der NIS-2-Richtlinie. Wir bieten Ihnen umfassende Beratung und praktische Hilfe bei der Implementierung der erforderlichen Sicherheitsmaßnahmen, der Einhaltung der Meldepflichten und der Schulung Ihrer Mitarbeiter. Kontaktieren Sie uns, um zu erfahren, wie wir Ihnen helfen können, die Anforderungen der NIS-2-Richtlinie erfolgreich zu erfüllen und Sanktionen zu vermeiden