Die NIS2-Richtlinie steht in enger Verbindung mit bestehenden deutschen Gesetzen und Verordnungen, die die Cybersicherheit und den Schutz kritischer Infrastrukturen regeln. Diese Gesetze wurden teilweise bereits auf Grundlage der ursprünglichen NIS-Richtlinie (NIS1) implementiert und müssen nun an die erweiterten Anforderungen von NIS2 angepasst werden. Hier sind die wichtigsten Verbindungen:
Das BSI-Gesetz (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) regelt den Schutz kritischer Infrastrukturen (KRITIS) in Deutschland. Es legt fest, dass Betreiber kritischer Infrastrukturen bestimmte Sicherheitsanforderungen einhalten und Sicherheitsvorfälle an das BSI melden müssen.
Verbindung zu NIS2:
Das IT-Sicherheitsgesetz 2.0, das 2021 in Kraft trat, stärkt die Sicherheitsanforderungen für Betreiber kritischer Infrastrukturen, erweitert die Definition von KRITIS und erhöht die Befugnisse des BSI.
Verbindung zu NIS2:
Die Kritisverordnung spezifiziert die Schwellenwerte und Kriterien, nach denen Unternehmen als Betreiber kritischer Infrastrukturen eingestuft werden.
Verbindung zu NIS2:
Die DSGVO regelt den Schutz personenbezogener Daten in der EU und in Deutschland. Viele Anforderungen von NIS2, insbesondere in Bezug auf die Meldung von Sicherheitsvorfällen, überschneiden sich mit den Anforderungen der DSGVO.
Verbindung zu NIS2:
Nach der NIS2-Richtlinie wird zwischen großen und mittelgroßen Unternehmen unterschieden, um unterschiedliche Sicherheitsanforderungen festzulegen. Diese Unterscheidung ermöglicht eine risikobasierte Regulierung, die die Bedeutung und das Risiko der jeweiligen Unternehmen berücksichtigt.
Die NIS2-Richtlinie unterscheidet zwischen „wesentlichen“ und „wichtigen“ Sektoren, um unterschiedliche Schutzniveaus und Aufsichtspflichten zu definieren. Diese Unterscheidung richtet sich nach der Kritikalität der Dienste für die Gesellschaft und die Wirtschaft.
„Wesentliche Sektoren“ umfassen diejenigen, deren Dienste für die grundlegende Funktionsweise der Gesellschaft und Wirtschaft von zentraler Bedeutung sind. Eine Störung in diesen Sektoren hätte schwerwiegende Auswirkungen. Daher unterliegen sie strengeren Sicherheitsanforderungen und einer intensiveren Aufsicht.
„Wichtige Sektoren“ betreffen ebenfalls Dienstleistungen von erheblicher Bedeutung, allerdings sind die Auswirkungen einer Störung in diesen Sektoren weniger gravierend im Vergleich zu den wesentlichen Sektoren. Sie unterliegen ebenfalls Cybersicherheitsanforderungen, jedoch unter einer geringeren Aufsichtsintensität. Zu den wichtigen Sektoren zählen:
Die NIS2-Richtlinie stellt einen bedeutenden Schritt zur Stärkung der Cybersicherheit in der Europäischen Union dar und ersetzt die ursprüngliche NIS-Richtlinie mit erweiterten und verschärften Anforderungen. Die genauen Pflichten sind im NIS2-Umsetzungsgesetzt geregelt. Diese Übersicht bietet einen Überblick über die wesentlichen Pflichten zur Umsetzung der NIS2-Vorgaben. Dabei wird wieder zwischen Wesentlichen und Wichtigen Einrichtungen unterschieden.
Pflicht | Wesentliche Sektoren | Wichtige Sektoren |
---|---|---|
Geltungsbereich | Unternehmen | Unternehmen |
Maßnahmen Risikomanagement §30 | ✓ | ✓ |
Höhere Maßstäbe für KRITIS §31 (1) | ||
Besondere Maßnahmen SzA §31 (2) | ||
Meldepflichten §32 | ✓ | ✓ |
Registrierung §33, §34 | ✓ | ✓ |
Unterrichtspflichten (Kunden) §35 | ✓ | ✓ |
Leitungsorgane Umsetzung §38 | ✓ | ✓ |
Nachweise §39 | tw.(§61) | tw.(§62) |
Im Rahmen des NIS2-Umsetzungsgesetzes sind Bußgelder für die Nichterfüllung von Anforderungen definiert. Dabei werden die bisherigen KRITIS-Bußgelder um Tatbestände erweitert und Bußgelder teils erheblich erhöht.
bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes
bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes
Unternehmen, die die in NIS2 festgelegten Cybersicherheitsanforderungen nicht umsetzen – wie etwa unzureichende Schutzmaßnahmen, unzureichendes Risikomanagement oder mangelnde Sicherheitsvorkehrungen – können mit Bußgeldern belegt werden.
Wenn ein Unternehmen einen Cybervorfall nicht innerhalb der vorgeschriebenen Fristen meldet oder die Meldung unvollständig ist, können ebenfalls Bußgelder verhängt werden. Dies umfasst sowohl die Meldung an die zuständigen Behörden als auch die Information betroffener Parteien.
Unternehmen, die nicht angemessen auf Cybervorfälle reagieren, etwa durch unzureichende Notfallpläne oder mangelhafte Maßnahmen zur Schadensbegrenzung, können Sanktionen und Bußgelder erhalten.
Das Versäumnis, regelmäßige Sicherheitsüberprüfungen, Audits oder Risikobewertungen durchzuführen, kann zu Bußgeldern führen, wenn diese Prüfungen nach NIS2 erforderlich sind.
Wenn ein Unternehmen den Anordnungen oder Anforderungen der zuständigen Aufsichtsbehörden nicht nachkommt – beispielsweise bezüglich der Sicherheitsmaßnahmen oder der Meldung von Vorfällen – kann dies ebenfalls zu Bußgeldern führen.
Unternehmen, die keine ordnungsgemäße Dokumentation und Berichterstattung in Bezug auf Sicherheitsmaßnahmen und Vorfälle gewährleisten, können sanktioniert werden.
Kontaktieren Sie uns unter info@threategic.de oder über unser Kontaktformular.
Wir setzen uns zeitnah mit Ihnen in Verbindung.
Kontaktieren Sie uns unter info@threategic.de oder über unser Kontaktformular.
Wir setzen uns zeitnah mit Ihnen in Verbindung.