Prävention von Cyber-Angriffen: Neue Anforderungen nach NIS 2

10.6.2024

Artikel

Der Entwurf des deutschen Umsetzungsgesetzes zur NIS 2-Richtlinie liegt jetzt vor. Hier ein Überblick über die wichtigsten Punkte.

Cyber-Angriffe gehören zum Unternehmensalltag. Sie verursachen in Deutschland nach einer Studie der Bitkom aus dem Jahr 2023 einen jährlichen Gesamtschaden von durchschnittlich über 200 Milliarden Euro.

Ransomware-Angriffe und das Ausnutzen von IT-Schwachstellen, wie offene oder falsch konfigurierte Online-Server, gehören nach Erhebungen des BSI zu den häufigsten Bedrohungsszenarien.

Weil sich die Bedrohungslage angesichts einer angespannten geopolitischen Lage und einer fortschreitenden Digitalisierung des Alltags- und Wirtschaftslebens weiter zuspitzen wird, ist die EU mit der NIS 2-Richtlinie in den Verteidigungsmodus übergegangen. Die Anforderungen an die Governance-Strukturen im Hinblick auf Cyber-Bedrohungen wurden verschärft.

Der Entwurf des deutschen Umsetzungsgesetzes zur NIS 2-Richtlinie liegt jetzt vor.

Hier ein Überblick über die wichtigsten Punkte:

Pflichten zur Einhaltung eines Mindestniveaus an IT-Sicherheit betreffen jetzt deutlich mehr Unternehmen (besonders wichtige und wichtige Einrichtungen):

  • Bisherige Verpflichtungen betrafen 4.693 Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste.
  • Künftig sind rund 8.250 Unternehmen als "besonders wichtige" und rund 21.600 Unternehmen als "wichtige Einrichtungen" zu klassifizieren (darunter auch kommunale Eigenbetriebe oder Landesbetriebe sowie juristische Personen des öffentlichen Rechts). Wer unter die Begriffe fällt, ergibt sich aus § 28 BSIG-E (siehe Link in den Kommentaren).
  • Das heißt, dass für 25.000 Unternehmen vollständig neue Risikomanagementmaßnahmen zur Prävention von Cyber-Bedrohungen eingeführt werden müssen.
  • Die pflichtgemäße Umsetzung der Risikomanagementmaßnahmen im Bereich der Cybersicherheit ist eine Geschäftsleitungsaufgabe. Der Geschäftsleiter hat die Maßnahmen zu billigen und ihre Umsetzung zu überwachen. Das Unternehmen kann auf Haftungsansprüche gegen den Geschäftsleiter bei Pflichtverletzung nicht verzichten! Ein Vergleich unterliegt einer besonderen Rechtskontrolle. Dieser soll nach dem Entwurf ausdrücklich nur möglich sein, wenn der Inhalt des Vergleichs nicht in einem "groben Missverhältnis" zu der bestehenden Ungewissheit über das Rechtsverhältnis steht (§ 38 Abs. 2 BISG-E).

Incident-Management: Meldung-, Unterrichtungs- und Auskunftspflichten bei Sicherheitsvorfällen

  • Mehr Unternehmen werden zu einem Incident-Management (Meldung und Auskunft) verpflichtet.
  • Meldungen werden aufgrund eines künftig mehrstufigen Verfahrens auch für bereits jetzt schon Verpflichtete aufwendiger. Jetzt: "frühe Erstmeldung" > "aktualisierende Meldung mit Bewertung zur Schwere" > "Abschlussmeldung".
  • Es wird eine Unterrichtungspflicht gegenüber Empfängern von Diensten der betroffenen Einrichtung in bestimmten Fällen eingeführt.
  • Nach der Aufwandsschätzung in den Entwurfsmaterialien wird von 2.400 meldepflichtigen Sicherheitsvorfällen pro Jahr ausgegangen.

Fortbildungspflicht für Geschäftsleiter

  • Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen.
  • Nach dem Entwurf sind "ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik und die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste zu erwerben."

Bußgelder

Unter anderem der Verstoß gegen Risikomanagement-Maßnahmen oder Meldepflichten wird mit abschreckenden Sanktionsandrohungen unterlegt:

  • bei Verstößen "besonders wichtiger Einrichtungen" mit einem Jahresumsatz von mehr als 500 Millionen EUR ist in der Spitze ein Bußgeld von bis zu 2 % des weltweiten Jahresumsatzes und
  • bei Verstößen "wichtiger Einrichtungen" mit einem Jahresumsatz von mehr als 500 Millionen EUR ist in der Spitze ein Bußgeld von bis zu 1,4 % des weltweiten Jahresumsatzes möglich.

Der weitere Fahrplan:

  • Die Umsetzungsfrist für die NIS 2-Richtlinie endet am 17. Oktober 2024.
  • Dass die Umsetzung fristgerecht erfolgt, wird allgemein als unwahrscheinlich beurteilt.
  • Unternehmen sollten dennoch bereits jetzt ihre Compliance-Strukturen anpassen.
Weitere Neuigkeiten:
Neue Compliance-Anforderungen nach AI-Act/KI-Verordnung
WirtschaftsWoche zeichnet ROSTALSKI als TOP Kanzlei im Bereich Steuerstrafrecht aus
Best Lawyers x Handelsblatt: ROSTALSKI zählt zu den "Best Law Firms - Germany 2025"
Portrait-Foto von Dr. Tony Rostalski, Fachanwalt für Strafrecht und Zertifizierter Datenschutzbeauftragter. Hinter ihm ist der Flur eines modernen Büros in Unschärfe zu sehen.
Dr. Tony Rostalski
Rechtsanwalt
Fachanwalt für Strafrecht

Sie haben Fragen zum Thema oder benötigen Unterstützung? Kontaktieren Sie uns gerne direkt.

T:

0221 29265841

E:

rostalski@rostalski.legal

Kontakt speichern

LinkedIn Symbol Blau

LinkedIn

Telefonische Beratung
Nachricht senden
Portrait-Foto von Dr. Tony Rostalski, Fachanwalt für Strafrecht und Zertifizierter Datenschutzbeauftragter. Hinter ihm ist der Flur eines modernen Büros in Unschärfe zu sehen.
Dr. Tony Rostalski
Rechtsanwalt
Fachanwalt für Strafrecht

Sie haben Fragen zum Thema oder benötigen Unterstützung? Kontaktieren Sie uns gerne direkt.

T:

0221 29265841

E:

rostalski@rostalski.legal

Zurück zur Übersicht
ADRESSE
Lindenallee 43
50968 Köln (Marienburg)
KONTAKT
E-Mail: kanzlei@rostalski.legal
T: 0221 29265840
FOLGEN SIE UNS.
LinkedIn
Impressum
Datenschutz