Hinweis: Dieser Abschnitt behandelt die Thematik der Netzwerk- und Informationssicherheit gemäß der NIS2-Richtlinie, die kein direktes Datenschutzthema darstellt. Unternehmen werden dazu angehalten, sich rechtlich zu diesem Thema umfassend zu informieren, da die folgenden Informationen lediglich einen Überblick darstellen und nicht als rechtliche Beratung gelten.
Aktueller Stand
Am 24.07.2024 hat das Bundeskabinett das “NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz” beschlossen. Dieses Gesetz wird nun dem Bundestag zur Beratung vorgelegt. Aktuelle Informationen bis zur Verkündung des Gesetzes sowie Stellungnahmen, wie die der Deutschen Industrie- und Handelskammer, finden Sie auf der entsprechenden Website.
Was ist NIS-2?
NIS-2 steht für die EU-Richtlinie zur Netzwerk- und Informationssicherheit, die signifikante Anforderungen an Organisationen stellt, deren Ausfall oder Beeinträchtigung schwerwiegende Folgen für das öffentliche Wohl haben könnte. Diese Einrichtungen müssen nachweislich hohe Cybersicherheitsstandards erfüllen.
NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)
Durch das NIS2UmsuCG, das verschiedene nationale Gesetze ändert, wird ein höheres Sicherheitsniveau angestrebt, das in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erreicht werden soll. Die EU NIS-2-Richtlinie wurde bereits 2023 beschlossen und muss bis zum 17.10.2024 in nationales Recht umgesetzt werden.
Welche Unternehmen sind betroffen?
Unternehmen müssen selbst prüfen, ob sie von den Regelungen betroffen sind. Dies gilt insbesondere für Organisationen, die zu kritischen Infrastrukturen gehören oder eine besondere Rolle in der digitalen Versorgung spielen. Details zur Einstufung und zur “NIS-2 Betroffenheitsprüfung” sind beim BSI erhältlich.
Was müssen betroffene Unternehmen tun?
Betroffene Unternehmen müssen bestimmte Sicherheitsmaßnahmen umsetzen, Meldepflichten beachten und sich registrieren lassen. Nichtbeachtung kann zu hohen Strafen und weiteren Konsequenzen führen.
Welche Folgen drohen bei Nichtbeachtung?
Unternehmen, die die gesetzlichen Anforderungen nicht erfüllen, können mit empfindlichen Geldbußen belegt werden. Zusätzlich besteht eine persönliche Haftung der Geschäftsleitung.
Aufsichts- und Durchsetzungsmaßnahmen
Das BSI hat umfassende Befugnisse zur Überwachung und Durchsetzung der Vorschriften. Dies beinhaltet die Möglichkeit, von Unternehmen den Nachweis der Einhaltung der Sicherheitsmaßnahmen zu verlangen.
Fristen für die Registrierungspflicht § 33
Betroffene Unternehmen müssen sich innerhalb einer bestimmten Frist beim BSI registrieren. Versäumt ein Unternehmen diese Frist, kann das BSI die Registrierung eigenständig vornehmen.
Weitere Details und Anforderungen können den jeweiligen gesetzlichen Bestimmungen und den daraus resultierenden Verordnungen entnommen werden, die noch bekannt gegeben werden.