Datenschutz und Cybersecurity

NIS2 Richtlinie: EU-Gremien einigen sich auf neue NIS Richtlinie

Verfasst von

Dr. Jan-Peter Ohrtmann

Der Ministerrat, das Parlaments und die EU Kommission haben sich auf eine Novelle der Richtlinie über die Netzwerk- und Informationssicherheit (NIS2) verständigt. Durch die neue NIS Richtlinie soll der Anwendungsbereich erweitert und Haftungsnormen für eine persönliche Haftung eingeführt werden.

Adressaten

Der Richtlinienentwurf adressiert Unternehmen und Behörden in der EU, die für die Wirtschaft und Gesellschaft von entscheidender und essenzieller Bedeutung sind. Neben den sogenannten kritischen Infrastrukturen (Kritis) sollen künftig auch mittlere und große Einrichtungen aus einer erweiterten Zahl von Sektoren mit über 250 Mitarbeitern und über zehn Millionen Jahresumsatz erfasst werden. Damit sollen EU-weit über 100.000 Einrichtungen betroffen sein.

Inhaltliche Pflichten

Der Richtlinienentwurf verpflichtet inhaltlich zu Cybersicherheits-Standards wie Audits, Risikoabschätzungen, das zeitnahe Einspielen von Sicherheitsupdates und Zertifizierungen.

Persönliche Haftung 

Durch die neue NIS Richtlinie soll eine Haftung für Führungskräfte für Verstöße gegen die erweiterten Cybersicherheit-Pflichten eingeführt werden. Es drohen Geldbußen für Führungskräfte in Höhe von 2 Prozent des Jahresumsatzes für betroffene Betreiber wesentlicher Dienste, sowie 1,4 Prozent des Jahresumsatzes für Anbieter wichtiger Services.

Bevor die Richtlinie in Kraft treten kann, muss der Rat und das Parlament dem Entwurf formell zustimmen, was jedoch als Formalie gilt.

Fazit

Insbesondere durch die in der NIS2-Richtlinie eingeführte persönliche Haftung wird die Informationssicherheit noch weiter an Bedeutung im Risikomanagement der betroffenen Unternehmen gewinnen.