NIS-2: Sanktions- und Haftungsrisiken für Unternehmen

Digitale Prozesse sind effizientere Prozesse. Doch leider hat die zunehmende Vernetzung auch Schattenseiten: Cyberangriffe bedrohen die Sicherheit von Unternehmen, Behörden und anderen Institutionen. Umso wichtiger ist es, der Cybersicherheit genügend Aufmerksamkeit zu widmen. Damit diese Aufgabe nicht unterschätzt wird, gibt es die NIS-2-Richtlinie der EU. Sie betrifft deutschlandweit rund 30.000 Institutionen, vor allem Unternehmen. Betroffen von der Richtlinie sind alle Unternehmen mit mehr als 50 Beschäftigten oder einem Jahresumsatz von mehr als 10 Millionen Euro. Auch wenn sie kleiner sind, können Unternehmen – wenn sie als strukturell wichtig gelten – unter die NIS-2-Vorschriften fallen.

Die NIS-2-Richtlinie (Network and Information Security) zielt darauf ab, ein hohes einheitliches Niveau der Cybersicherheit in der gesamten EU zu gewährleisten. Wenn Sie mehr über die NIS-2-Richtlinie erfahren wollen: Hier erfahren Sie, wie die NIS-2 in Deutschland umgesetzt wird und wie Unternehmen die Vorgaben zur Cybersicherheit umsetzen können.

 

Deutschland wird die NIS-2-Richtlinie über das BSI-Gesetz in nationales Recht umsetzen, auch wenn der eigentliche Termin im Oktober 2024 nicht zu halten war. Während die NIS-Richtlinie anfangs nur für die sogenannte kritische Infrastruktur galt, wird nun der Adressatenkreis deutlich erweitert. Es wird somit höchste Zeit für Unternehmen, die für sie geltenden technischen, operativen und organisatorischen Anforderungen zu prüfen und Haftungsrisiken nach dem neuen Sanktionsregime in den Blick zu nehmen. Denn schon jetzt ist klar: Werden die NIS-2-Vorgaben nicht erfüllt, drohen hohe Bußgelder.

Was regelt die NIS-2-Richtlinie?

Allgemeines zur NIS-2-Richtlinie und ob diese auch für ihr Unternehmen gilt, haben wir bereits an anderer Stelle für Sie zusammengefasst: Wie setzen Unternehmen die NIS-2-Vorgaben zur Cybersicherheit um? (clarius.legal)oder NIS-2-Richtlinie Umsetzung und aktueller Stand in Deutschland (clarius.legal).

Welche Sanktionen sieht das Umsetzungsgesetz vor?

Das Missachten der NIS-2-Richtlinie kann teuer werden. Der neue § 65 BSIG-RegE gibt den Aufsichtsbehörden die Möglichkeit, Bußgelder zu verhängen. Dabei orientiert sich der Gesetzgeber – anders als bisher – an der Höhe des weltweiten Jahresumsatzes sowie festen Obergrenzen. Die Bemessungsgrundlagen werden damit verschärft.

Unterschieden wird nach § 28 BSIG- RegE zwischen „wichtigen Einrichtungen“ und „besonders wichtigen Einrichtungen. Eingestuft wird nach bestimmten Branchen-Sektoren und der Unternehmensgröße. „Besonders wichtigen Einrichtungen“ drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes im vorangegangenen Geschäftsjahr. Bei „wichtigen Einrichtungen“ kann das Bußgeld bis auf 7 Millionen Euro oder 1,4 Prozent des Umsatzes steigen – je nachdem, welcher Betrag höher ist.

(Zum Pflichtenprogramm im Überblick: NIS-2-Richtlinie Umsetzung und aktueller Stand in Deutschland (clarius.legal)). Hier muss im Einzelfall geprüft werden, welche Unternehmen mit welcher Konsequenz erfasst werden. Zu beachten ist hier, dass auch kleinere Unternehmen erfasst sein können, wenn sie besondere sektorspezifische Bedeutung haben.

Wofür drohen Bußgelder

Sobald die NIS-2-Richtlinie in nationales Recht umgesetzt wird, drohen Bußgelder für alle Unternehmen, die Vorgaben des aktualisierten BSI-Gesetzes missachten und unterlaufen. Das betrifft gesetzliche, technische und organisatorische Aspekte:

·      Von den NIS-2-Vorgaben betroffene Unternehmen müssen sich beim BSI registrieren lassen und Sicherheitsvorfälle dort melden.

·      Unternehmen müssen nachweisen, dass sie über angemessene Sicherheitsmaßnahmen verfügen, um ihre Netz- und Informationssysteme jederzeit zu schützen.

·      Sie müssen zudem ihre Mitarbeiter durch Schulungen und Aufklärungskampagnen für die Bedeutung der Cybersicherheit sensibilisieren.

Auch wenn Dokumentations- oder Nachweispflichten nicht erfüllt werden, drohen Bußgelder.

Persönliche Haftung der Geschäftsführung

Die Geschäftsführung haftet künftig persönlich dafür, dass die NIS-2-Vorgaben eingehalten wird. So steht es in § 38 des Regierungsentwurfs zum neuen BSI-Gesetz. Damit ist die Geschäftsführung für die Umsetzung und Überwachung der Maßnahmen verantwortlich, die Cybersicherheit im Unternehmen verankert. Grundsätzlich haftet die Geschäftsführung persönlich auf  Schäden, die aus der Nichtumsetzung der nach § 30 BSIG-RegE notwendigen Maßnahmen zum Risikomanagement resultieren. Damit korrespondierend sieht § 38 Abs.3 BSIG-RegE auch eine Fortbildungspflicht für die Geschäftsführung vor.

Mit dem neuen Gesetz wird die Compliance für Cybersicherheit ausgeweitet – samt rechtlichen Sanktionen. Unternehmen sollten die Anforderungen der NIS-2-Richtlinie und des neuen BSIG deshalb ernstnehmen. Gerne unterstützen wir Sie bei der Umsetzung der NIS-2-Richtlinie. Wir bieten Ihnen umfassende Beratung und praktische Hilfe bei der Implementierung der erforderlichen Sicherheitsmaßnahmen, der Einhaltung der Meldepflichten und der Schulung Ihrer Mitarbeiter.

Kontaktieren Sie uns, um zu erfahren, wie wir Ihnen helfen können, die Anforderungen der NIS-2-Richtlinie erfolgreich zu erfüllen und Sanktionen zu vermeiden

Ihr persönlicher Kontakt

Matthias SchulzSenior Sales Manager

Diese Artikel könnten Sie ebenfalls interessieren

fallback-it-sicherheit
IT-Sicherheit: Die Hacker werden immer aggressiver
Mehr erfahren
fallback-password-security
Strenge Vorgaben für „Finanzunternehmen“
Mehr erfahren