Anforderung an die Compliance
Mit der Einführung der EU-Richtlinie 2022/2555, auch kurz NIS 2 genannt, sind die Anforderungen an die Compliance im Unternehmen gestiegen. Mit der NIS 2 wird auf die Bedrohung von Cyberangriffen in der EU reagiert. Die Richtlinie regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Cyberangriffe gelten inzwischen weltweit als eines der größten Geschäftsrisiken für Unternehmen.
Die NIS 2 ersetzt die EU-Richtlinie 2016/1148 (NIS 1) und soll dazu beitragen, die Cybersicherheit in der Europäischen Union zu verbessern und die Unternehmen besser zu schützen. Die Umsetzung der NIS-2-Richtlinie stellt somit auch erhöhte Anforderungen an das Risikomanagement und die Compliance in vielen Unternehmen. Werden die Maßnahmen in den Unternehmen nicht entsprechend umgesetzt, kann das Sanktionen zur Folge haben, so die Wirtschaftskanzlei MTR Legal Rechtsanwälte .
Die EU hat die NIS-2-Richtlinie 2023 verabschiedet und bis 2025 müssen die Mitgliedsstaaten sie in nationales Recht umsetzen. Welche Unternehmen von der Richtlinie betroffen sind, hängt vor allem von der Art ihrer Tätigkeit ab. Die Richtlinie wurde auf weitere Unternehmen ausgeweitet, die als wesentlich (essential) und wichtig (important) gelten. Das führt zu einer deutlichen Zunahme von Unternehmen und Einrichtungen, die gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gesetzliche Pflichten zu erfüllen haben.
Kritische Infrastrukturen betroffen
Zu den kritischen Infrastrukturen, die bereits unter die NIS-1-Richtlinie fielen wie Energie, Verkehr, Gesundheitswesen, Finanzen, Wasserwirtschaft und digitale Infrastruktur sind von der NIS-2-Richtlinie weitere Sektoren betroffen. Dazu zählen öffentliche elektronische Dienste, weitere digitale Dienste wie soziale Plattformen, Abwasser- und Abfallbewirtschaftung, Post- und Kurierdienste, öffentliche Verwaltung oder Hersteller kritischer Produkte. Nach Schätzungen werden in Deutschland rund 29.000 Unternehmen branchenübergreifend von der Umsetzung der NIS-2-Richtlinie betroffen sein. Vorwiegend werden mittlere und große Unternehmen in den kritischen Sektoren aufgerufen sein, geeignete Maßnahmen zur Cybersicherheit zu ergreifen und eine effiziente Compliance zu etablieren. Sie werden auch verpflichtet, die zuständigen Behörden über Sicherheitsvorfälle mit erheblichen Störungen oder Schäden zu informieren.
Die NIS-2-Richtlinie enthält auch Bestimmungen für Aufsicht, Durchsetzung und freiwillige Peer Reviews, um das gegenseitige Vertrauen und die Cybersicherheit in der gesamten Europäischen Union zu stärken. Das bedeutet auch, dass das Management in der Rechenschaftspflicht steht, wenn Maßnahmen zum Cybersicherheitsrisikomanagement nicht eingehalten werden.
Reaktion auf Angriffe auf Cybersicherheit
Mit der NIS-2-Richtline wird auch ein Netzwerk von Computer Security Incident Response Teams eingerichtet, um sich über die Sicherheitsbedrohungen auszutauschen und auf Vorfälle angemessen zu reagieren. Darüber hinaus wird das europäische Netz der Verbindungsorganisationen für Cyberkrisen geschaffen. Dieses Netz unterstützt einen regelmäßigen Informationsaustausch zwischen den Mitgliedsstaaten und den EU-Organen, um auf Vorfälle und Krisen großen Ausmaßes reagieren zu können.
Wie genau die NIS 2 im Deutschland in nationales Recht umgesetzt wird, steht noch nicht fest. Grund ist, dass sich die Umsetzung durch die vorgezogenen Bundestagswahlen verzögert hat. Klar ist aber, dass mit der Umsetzung Cybersicherheit auch für viele mittelständische Unternehmen zum Thema wird.
Unternehmen müssen Sicherheitsmaßnahmen implementieren
Sie werden durch die NIS 2 vor die Herausforderung gestellt, erforderliche Sicherheitsmaßnahmen zu implementieren, um Daten und kritische Infrastruktur vor möglichen Cyberangriffen zu schützen. Dazu müssen die erforderlichen technischen und organisatorischen Maßnahmen ergriffen werden. Wird das Unternehmen Opfer eines Cyberangriffs, muss es Pläne geben, den Schaden umgehend einzudämmen und die Systeme wiederherzustellen. Ebenso müssen die zuständigen Behörden informiert werden. Darüber hinaus müssen die Unternehmen regelmäßige Tests durchführen, um Schwachstellen aufzuspüren und zu beseitigen. Cybersicherheit soll auch innerhalb der Lieferkette bestehen. Daher muss auch hier auf Risiken reagiert werden.
Die Umsetzung der NIS-2-Richtlinie bedeutet Herausforderungen an eine effiziente Compliance in den betroffenen Unternehmen, zumal auch Vorstände und leitende Organe persönlich in der Haftung stehen können, wenn die erforderlichen Sicherheitsmaßnahmen nicht umgesetzt werden.
MTR Legal Rechtsanwälte unterstützt Unternehmen bei der Implementierung effektiver Compliance-Systeme und sorgt dafür, dass die gesetzlichen Anforderungen erfüllt werden. Als Wirtschaftskanzlei berät MTR Legal zu Compliance und weiteren Themen des Wirtschaftsstrafrechts.
Nehmen Sie gerne Kontakt zu uns auf!
