Die PRW Group setzt NIS2 für ihre Mandanten um: Technisch, rechtlich, digital

1. Die Entwicklung von NIS2

NIS steht für Network and Information Security. Im Wesentlichen geht es um das Implementieren von Maßnahmen zur Sicherstellung von Cybersecurity. NIS2 ist Nachfolger von NIS1, einer Richtlinie, die seit 2016 existiert und deren Umsetzung in Europa nicht gut funktioniert hat. Das soll mit NIS2 jetzt korrigiert werden. Zusätzlich werden mehr Unternehmen von NIS2 betroffen sein, da die Anzahl der relevanten Sektoren deutlich erweitert und die Schwellenwerte zur Unternehmensgröße (Mitarbeitende / Umsatz) herabgesetzt wurden. Das bedeutet, dass auf Unternehmen, die in den Anwendungsbereich der NIS2-Richtlinie fallen, umfangreiche neue Pflichten zukommen. Die Mitgliedstaaten müssen die NIS2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Wegen der erheblich erweiterten Pflichten und der potenziell empfindlichen Sanktionen sollten sich diejenigen, die in den Anwendungsbereich fallen, bereits heute mit der Umsetzung von NIS2 beschäftigen. Die PRW Group zeigt Ihnen den kostengünstigen Weg zur Umsetzung der notwendigen Maßnahmen auf.

 

2. Betroffenheitsanalyse

Die NIS2-Richtlinie findet grundsätzlich Anwendung auf Organisationen, die 

– im öffentlichen oder privaten Sektor tätig sind,

– zu einem „Sektor mit hoher Kritikalität“ (Anhang I der NIS2-Richtlinie) oder in einem „sonstigen kritischen Sektor“ (Anhang II    der NIS2-Richtlinie) gehören (siehe Link)

– mind. sog. mittlere Unternehmen sind, d. h. mind. zehn (10) Mio. EUR erzielen bzw. eine Jahresbilanzsumme von mind. zehn      (10) Mio. EUR haben und

– ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben.

Treffen die vorgenannten Kriterien zu, ist die Organisation von NIS2 betroffen.

3. Pflichten, die auf die betroffenen Organisationen zukommen

(1) Risikomanagementmaßnahmen

Der europäische Gesetzgeber möchte eine verbesserte „Risikomanagementkultur“ erreichen. Diese umfasst auch eine Risikobewertung und Anwendung von Risikomanagementmaßnahmen im Bereich der Cybersicherheit, die den jeweiligen Risiken angemessen ist. Betroffene Organisationen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Die Maßnahmen müssen den Stand der Technik berücksichtigen und dem bestehenden Risiko angemessen sein. Diese Risikomanagementmaßnahmen umfassen z. B. Risikoanalyse- und Sicherheitskonzepte, Backup- und Krisen-Management, Multi-Faktor-Authentifizierungen, Konzepte für Zugriffskontrollen, Verschlüsselungskonzepte und sicherheitsbezogene Aspekte der Beziehung zu unmittelbaren Lieferanten bzw. Dienstleistern des Unternehmens. Die Maßnahmen sollten im Verhältnis zu den gesellschaftlichen und wirtschaftlichen Auswirkungen stehen, die ein Sicherheitsvorfall hätte.

(2) Meldepflichten

Betroffene Organisationen müssen das für sie zuständige Computer-Notfallteam oder ggf. die für sie zuständige Behörde sofort über jeden Sicherheitsvorfall informieren, der erhebliche Auswirkungen auf die Erbringung ihrer Dienste hat. Die Mitgliedsstaaten benennen die Computer-Notfallteams, welche innerhalb einer zuständigen Behörde eingerichtet werden können. Der Meldeprozess ist mehrstufig gestaltet:

– Betroffene Organisationen müssen innerhalb von vierundzwanzig (24) Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls eine Frühwarnung übermitteln.

– Innerhalb von zweiundsiebzig (72) Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls müssen die betroffenen Organisationen eine Meldung über den Sicherheitsvorfall übermitteln. Darin ist unter anderem eine erste Bewertung des erheblichen Sicherheitsvorfalls, inkl. seiner Schwere und seiner Auswirkungen anzugeben.

– Spätestens einen (1) Monat nach Übermittlung der Meldung müssen die wesentlichen und wichtigen Einrichtungen einen Abschlussbericht übermitteln.

(3) Sanktionen im Falle eines Verstoßes gegen NIS2

 

Die Sanktionsmaßnahmen richten sich danach, ob ein Unternehmen nach Anlage I oder Anlage II der NIS2-Richtlinie bewertet wird. 

– Gegen wesentliche Einrichtungen, die keine ausreichenden Risikomanagementmaßnahmen ergreifen oder gegen Meldepflichten verstoßen, sollen die Mitgliedstaaten Geldbußen mit einem Höchstbetrag von mindestens zehn (10) Mio. EUR oder zwei (2) Prozent des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes vorsehen, je nachdem, welcher Betrag höher ist.

– Gegen wichtige Einrichtungen, die keine ausreichenden Risikomanagementmaßnahmen ergreifen oder gegen Meldepflichten verstoßen, sollen die Mitgliedstaaten Geldbußen mit einem Höchstbetrag von mindestens sieben (7) Mio. EUR oder ein viertel (1,4) Prozent des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes vorsehen, je nachdem, welcher Betrag höher ist.

– Die zuständigen Behörden sollen in Ausübung ihrer Aufsichts- und Durchsetzungsmaßnahmen außerdem Maßnahmen, wie z. B. Vor-Ort-Kontrollen, Sicherheitsprüfungen, Ad-hoc-Prüfungen, Warnungen oder Untersagung der Leitungsaufgabe ergreifen können.  

4. Jetziger Handlungsbedarf

Wegen der umfassenden Pflichten und der potenziell sehr empfindlichen Konsequenzen bei Verfehlungen sollten betroffenen Organisationen sich schon jetzt mit der NIS2-Richtlinie befassen und v. a. folgende Schritte unternehmen:

– Die Prüfung, ob die NIS2-Richtlinie auf ihr Unternehmen anwendbar ist, hat stattgefunden. Das ist der Fall.

– Akzeptieren, dass die Entscheidungen zu Cybersecurity und Risikomanagement nicht delegierbar und „Chefsache“ sind.

– Bereits existierende Maßnahmen mit den Vorgaben von NIS2 abgleichen und eventuell notwendige Risikomanagementmaßnahmen treffen oder ergänzen.

– Die Prozesse schaffen oder anpassen, um Meldepflichten zu erheblichen Sicherheitsvorfällen einhalten zu können.

5. Unterstützung durch die PRW Group

Jedes Mitglied der PRW Group leistet seinen Teil. Die Anwälte betreuen den rechtlichen Rahmen, die PRW Consulting GmbH stellt die Compliance notwendige Dokumentation der Prozesse bereit und die PRW Legal Tech GmbH entwickelt die digitale Plattform für die Mandanten, die den Nachweis der Angemessenheit der Maßnahmen sichert.

Wilfried Reiners

CEO PRW Group

München, den 28. März 2023

Ansprechpartner für die Presse:

Helmut Nollert

Sugar and spice communications GmbH

Elisabethstr. 13

80796 München

Tel. 01726100821

E-Mail: fnollert@sugarandspice.online