(1) Risikomanagementmaßnahmen

Der europäische Gesetzgeber möchte eine verbesserte „Risikomanagementkultur“ erreichen. Diese umfasst auch eine Risikobewertung und Anwendung von Risikomanagementmaßnahmen im Bereich der Cybersicherheit, die den jeweiligen Risiken angemessen ist. Betroffene Organisationen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Die Maßnahmen müssen den Stand der Technik berücksichtigen und dem bestehenden Risiko angemessen sein. Diese Risikomanagementmaßnahmen umfassen z. B. Risikoanalyse- und Sicherheitskonzepte, Backup- und Krisen-Management, Multi-Faktor-Authentifizierungen, Konzepte für Zugriffskontrollen, Verschlüsselungskonzepte und sicherheitsbezogene Aspekte der Beziehung zu unmittelbaren Lieferanten bzw. Dienstleistern des Unternehmens. Die Maßnahmen sollten im Verhältnis zu den gesellschaftlichen und wirtschaftlichen Auswirkungen stehen, die ein Sicherheitsvorfall hätte.

(2) Meldepflichten

Betroffene Organisationen müssen das für sie zuständige Computer-Notfallteam oder ggf. die für sie zuständige Behörde sofort über jeden Sicherheitsvorfall informieren, der erhebliche Auswirkungen auf die Erbringung ihrer Dienste hat. Die Mitgliedsstaaten benennen die Computer-Notfallteams, welche innerhalb einer zuständigen Behörde eingerichtet werden können. Der Meldeprozess ist mehrstufig gestaltet:

– Betroffene Organisationen müssen innerhalb von vierundzwanzig (24) Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls eine Frühwarnung übermitteln.

– Innerhalb von zweiundsiebzig (72) Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls müssen die betroffenen Organisationen eine Meldung über den Sicherheitsvorfall übermitteln. Darin ist unter anderem eine erste Bewertung des erheblichen Sicherheitsvorfalls, inkl. seiner Schwere und seiner Auswirkungen anzugeben.

– Spätestens einen (1) Monat nach Übermittlung der Meldung müssen die wesentlichen und wichtigen Einrichtungen einen Abschlussbericht übermitteln.

(3) Sanktionen im Falle eines Verstoßes gegen NIS2

Die Sanktionsmaßnahmen richten sich danach, ob ein Unternehmen nach Anlage I oder Anlage II der NIS2-Richtlinie bewertet wird. 

– Gegen wesentliche Einrichtungen, die keine ausreichenden Risikomanagementmaßnahmen ergreifen oder gegen Meldepflichten verstoßen, sollen die Mitgliedstaaten Geldbußen mit einem Höchstbetrag von mindestens zehn (10) Mio. EUR oder zwei (2) Prozent des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes vorsehen, je nachdem, welcher Betrag höher ist.

– Gegen wichtige Einrichtungen, die keine ausreichenden Risikomanagementmaßnahmen ergreifen oder gegen Meldepflichten verstoßen, sollen die Mitgliedstaaten Geldbußen mit einem Höchstbetrag von mindestens sieben (7) Mio. EUR oder ein viertel (1,4) Prozent des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes vorsehen, je nachdem, welcher Betrag höher ist.

– Die zuständigen Behörden sollen in Ausübung ihrer Aufsichts- und Durchsetzungsmaßnahmen außerdem Maßnahmen, wie z. B. Vor-Ort-Kontrollen, Sicherheitsprüfungen, Ad-hoc-Prüfungen, Warnungen oder Untersagung der Leitungsaufgabe ergreifen können.