Werbung
Wer sich noch an den 25. Mai 2018 erinnern kann, dem fällt bestimmt auch wieder die wie aus dem Nichts aufgetauchte DSGVO wieder ein. Lange diskutiert und bereits 2016 ausgehandelt traf sie die deutsche Gesellschaft und viele Unternehmen in aller Regel völlig unvorbereitet. Mit NIS 2 rollt derzeit wohl ein ähnliches Schwergewicht, wahrscheinlich unbemerkt, auf diese zu.
Die neue Richtlinie NIS 2 wurde im November letztens Jahres vom Rat der EU und dem Europäischen Parlament angenommen und kurz vor dem Jahreswechsel im EU-Amtsblatt veröffentlicht, sie gilt seit dem 16.01.2023. Seit diesem Datum haben die Mitgliedstaaten 21 Monate Zeit die Richtlinie in nationales Recht umzusetzen.
Die neue Richtlinie ersetzte die derzeitige Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie). Dazu modernisiert sie den bisherigen Rechtsrahmen, um den Anforderungen zunehmender Digitalisierung und dem daraus erwachsenden Bedrohungspotential für Cybersicherheit gerecht zu werden.
So weit so gut, allerdings unterscheidet sich NIS 2 in einigen wesentlichen Punkten von ihrer Vorgängerin. So listet NIS 2 ganze achtzehn Sektoren auf für die erhöhte Anforderungen an Cybersicherheit gestellt werden. Zwar überschneiden sich einige mit hier bereits geregelten Sektoren, andere gehen aber auch über das hinaus. Mit einer Neuauflage des IT-Sicherheitsgesetz kommen dann Sektoren in den folgenden Bereichen hinzu: öffentliche Verwaltung, Energie, Gesundheit (u.a. Medizingeräte), Forschung, Raumfahrt, sowie IT-Service-Management.
Zudem stand es unter der alten NIS-Richtlinie noch den Mitgliedstaaten frei festzulegen, welche Kriterien ein Unternehmen erfüllen muss, damit dieses sich für strengerer Maßnahmen hinsichtlich der Cybersicherheit qualifiziert.
Dies ist mit der neuen Richtlinie hinfällig, sie führt Grenzwerte hinsichtlich der Unternehmensgröße ein. Werden diese überschritten und befindet sich ein Unternehmen dazu in einen der erfassten Sektoren, fallen sie automatisch in den Anwendungsbereich der neuen Regeln. Dieser erfasst bereits kleine Unternehmen mit mindestens 50 Mitarbeitern und zehn Millionen Euro Umsatz.
Die neuen Regeln sollten nicht auf die leichte Schulter genommen werden. Denn kommen die betroffenen Unternehmen ihrer Verpflichtung nicht rechtzeitig nach kann es teuer werden. Vorgesehen sind Strafen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes. Die Uhr läuft und es herrscht wohl bei vielen bald betroffenen Unternehmen noch dringender Handlungsbedarf.