- 08.11.24
- Lesedauer: 2 Minuten
What is the best way for companies to implement cyber security requirements?
Increasing networking and digitalisation not only bring numerous benefits, but also considerable risks. Cyber attacks and IT security incidents can have a serious impact on companies and society. To counteract this, the EU’s NIS 2 Directive places increased demands on companies’ cyber security. The directive obliges a large number of companies in various sectors to take comprehensive security measures.
Germany has already taken measures to transpose the NIS 2 Directive into national law. The Federal Republic of Germany pursues a comprehensive approach that includes legal as well as technical and organisational measures. (You can read more about this in the article NIS 2 Directive: Implementation and current status in Germany)
Who is obligated?
The NIS 2 Directive applies to companies and organisations operating in certain critical sectors. The 18 sectors affected include, among others:
What are the requirements?
The NIS 2 Directive places a number of technical, operational and organisational requirements on the companies concerned, including
What do companies need to look out for?
Various areas of the company are involved in the implementation of the NIS 2 Directive (IT, Compliance, Data Protection, HR, QM, etc.). Holistic risk management involving all stakeholders is therefore essential for companies.
Companies should pay particular attention to the following points:
Persönliche Haftung der Geschäftsführung
Einen zusätzlichen Anreiz soll nach der NIS-2-Rl die persönliche Haftung der Geschäftsführung bieten. Dies hat die Bundesregierung nun in § 38 des BSIG-RegE verankert. Die Geschäftsführung ist selbst für die Umsetzung und Überwachung der Cybersicherheitsmaßnahmen hauptverantwortlich. Grundsätzlich haftet die Geschäftsführung ihrer Einrichtung persönlich auf diejenigen Schäden, die aus der Nichtumsetzung der nach § 30 BSIG-RegE notwendigen Risikomanagementmaßnahmen resultieren. Damit korrespondierend, sieht § 38 Abs.3 BSIG-RegE auch eine Fortbildungspflicht für die Geschäftsführung vor.
Fazit:
Neben den möglicherweise ohnehin großen wirtschaftlichen Schäden, welche durch Cyberangriffe an Unternehmen und Einrichtungen entstehen können, steht nun infolge der NIS-2-Richtlinie eine Ausweitung von Cybersicherheits-Compliance- rechtlichen Sanktionsmöglichkeiten unmittelbar bevor. Unternehmen sollten die Anforderungen der NIS-2-Rl. und des neuen BSIG deshalb ernstnehmen.
Gerne unterstützen wir Sie bei der Umsetzung der NIS-2-Richtlinie. Wir bieten Ihnen umfassende Beratung und praktische Hilfe bei der Implementierung der erforderlichen Sicherheitsmaßnahmen, der Einhaltung der Meldepflichten und der Schulung Ihrer Mitarbeiter. Kontaktieren Sie uns, um zu erfahren, wie wir Ihnen helfen können, die Anforderungen der NIS-2-Richtlinie erfolgreich zu erfüllen und Sanktionen zu vermeiden