NIS-2 Richtlinie zur Cybersicherheit – Bezüge auch zum Datenschutzrecht
Mit der NIS-2 Richtlinie werden die Anforderungen an die Cybersicherheit EU-weit deutlich verschärft. Aktuell wird intensiv darüber diskutiert, ob es dem deutsche Gesetzgeber gelingt, die Richtlinie fristgerecht bis zum 17. Oktober 2024 in nationales Recht umzusetzen. NIS-2 ist seit 2023 auf EU-Ebene in Kraft, bis zum 17.10.2024 müssen die EU-Mitgliedsstaaten die Richtlinie in nationales Recht umsetzen, ein Referentenentwurf des BMI liegt vor, sobald das NIS2UMsuCG (NIS-2 Usetzungs- und Cybersicherheitsstärkungs-gesetz) beschlossen wurde, müssen die NIS2 – Anforderungen von den betroffenen Unternehmen* umgesetzt werden – ohne Übergangsfristen.
Jedes betroffene Unternehmen* ist verpflichtet:
• eine Risikobewertung für die Cybersicherheit durchzuführen
• angemessene und verhältnismäßige Sicherheitsmaßnahmen, zu treffen, um die Integrität, Verfügbarkeit, Vertraulichkeit der Unternehmensdaten zu gewährleisten
• Compliance sicherzustellen
Gründe für die Einführung der Richtlinie
• fortschreitende Digitalisierung und die damit verbundenen Sicherheitsrisiken erfordern verstärkte Schutzmaßnahmen
• einen Rahmen für erhöhte Cybersicherheit in Europa zu schaffen, der präventive und effektive Abwehrmethoden gegen Cyberangriffe bietet
Konsequenzen bei Nichteinhaltung
• Geschäftsführer sind verantwortlich für die Cybersicherheit ihrer Unternehmen
• bei Missachtung der NIS-2-Richtlinie drohen Strafen von bis zu 10 Millionen Euro oder 2 % desweltweiten Vorjahresumsatzes, in schweren Fällen sogar bis zu 20 Millionen Euro oder 4 %
Unsere Unterstützung bei den wichtige Schritte zur Einhaltung der NIS-2-Richtlinie
1. Betroffenheitsanalyse: Wir prüfen gemeinsam mit Ihnen, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist
2. Identifikation von Pflichten und Schwachstellen: Es ist notwendig, die spezifischen Anforderungen der NIS-2 zu verstehen und die Sicherheitslücken zu identifizieren.
3. Nachbesserung und Umsetzung: Wir entwickeln einen Aktionsplan für technische und organisatorische Verbesserungen, um identifizierte Mängel zu beheben und die Richtlinie zu erfüllen.
Achtung: auch kleine Unternehmen, die in die u.g. Branchensektoren fallen, können von der NIS-2 Richtlinie betroffen sein, wenn sie als Dienstleister oder Lieferant für NIS-2-pflichtigeGroßunternehmen tätig sind.
Klassifizierung von Unternehmen nach NIS-2 betrifft nicht nur KRITIS-Betreiber
Betreiber kritischer Anlagen (Kritis)
1. Energie
2. Informationstechnik und
Telekommunikation
3. Transport und Verkehr
4. Gesundheit
5. Medien und Kultur
6. Wasser
7. Ernährung
8. Finanz- und Versicherungswesen
9. Siedlungsabfallentsorgung
10.Staat und Verwaltung
Besonders wichtige Unternehmen**
1. Energie
2. Verkehr
3. Bankwesen
4. Finanzenmarkzinfrastrukture
5. Gesundheitswesen
6. Trinkwasser
7. Abwasser
8. Digitale Infrastrukturen
9. Verwaltung von IKT Diensten
10. öffentliche Verwaltung
11. Weltraum
Wichtige Unternehmen**
1. Post und Kurierdienste
2. Abfallbewirtschaftung
3. Chemikalien (Produktion, Herstellung, Handel)
4. Lebensmittel (Produktion, Verarbeitung, Vertrieb)
5. Verarbeitendes Gewerbe / Herstellung von Waren
6. Anbieter digitaler Dienste
7. Forschung
**Unternehmensgröße : Besonders wichtige und wichtige Einrichtungen aus den o.g. Branchensektoren je nach Größe:
Mittel: 50 – 250 Beschäftigte; 10 – 50 Mio € Umsatz oder < 43 Mio € Bilanz
Groß: > 250 Beschäftigte; > 50 Mio € Umsatz oder > 43 Mio € Bilanz
Davon unabhängig hat die NIS-2 Richtlinie interessante Bezüge zum Datenschutz:
So sieht Art. 2 Abs. 14 NIS-2 Richtlinie vor, dass Einrichtungen, Aufsichtsbehörden und andere Adressaten der Richtlinie personenbezogene Daten verarbeiten dürfen, soweit dies für die Zwecke der Richtlinie erforderlich ist. Die Verarbeitung muss jedoch im Einklang mit der Datenschutzgrundverordnung erfolgen und auf einer Rechtsgrundlage beruhen. Insoweit stellt Erwägungsgrund 121 der NIS-2-Richtlinie klar, dass die Verarbeitung personenbezogener Daten zur Gewährleistung der Sicherheit von Netz- und Informationssystemen auf eine rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c und Art. 6 Abs. 3 DSGVO gestützt werden kann. Darüber hinaus kann nach Erwägungsgrund 121 der NIS-2-Richtlinie die Datenverarbeitung auch auf der Grundlage eines berechtigten Interesses erfolgen.