Zum besonders kritischen Sektor zählt auch das Gesundheitswesen, dem insbesondere die Krankenhäuser unterfallen. Unter die NIS2 fallen jedoch nicht nur Unternehmen, die zu den sogenannten kritischen Infrastrukturen zählen, sondern auch große und mittlere Unternehmen wie etwa Anbieter öffentlicher elektronischer Kommunikationsservices und digitaler Dienste sowie Hersteller medizinischer Geräte. Dem Handelsblatt zufolge sind in Deutschland ungefähr 40.000 Betriebe von der Richtlinie betroffen. Hierzu zählen auch die Unternehmen in kirchlicher Trägerschaft.
Cybersicherheit wird in den kommenden Jahren eine zentrale Herausforderung der Wirtschaft und der Bevölkerung bleiben. Die überarbeitete Richtlinie soll die Anforderungen an die Cybersicherheit und die Umsetzung erforderlicher Sicherheitsmaßnahmen in den Mitgliedsstaaten harmonisieren. Die Widerstandsfähigkeit (Resilienz) von Unternehmen im Hinblick auf die Gefahren aus dem Netz, den Ausfall von Systemkomponenten oder die Herausforderungen der Zukunft sowie die Kapazitäten zur Reaktion auf Datenschutz- und Sicherheitspannen sollen verbessert werden.
Die neue Richtlinie sieht unter anderem folgende Änderungen für Unternehmen, Betriebe, Stiftungen des öffentlichen oder privaten Sektors und Einrichtungen in kirchlicher Trägerschaft vor:
- Aufnahme weiterer kritischer Sektoren:
Die besonders kritischen Sektoren erhöhen sich auf elf Sektoren, die sonstigen kritischen Sektoren wachsen auf sieben Sektoren an. - Einführung von Schwellenwerten:
Mit den neuen Schwellenwerten für die Größe des Unternehmens bezogen auf die Mitarbeiterzahl oder den Umsatz wird die Bestimmung der unter die Richtlinie fallenden Unternehmen in den Mitgliedsstaaten vereinheitlicht. Betriebe, die mehr als 250 Mitarbeiter haben und über 10 Mio. EUR Jahresumsatz erreichen, haben in Zukunft die Anforderungen der Richtlinie zu erfüllen. - Bestimmung zur Ausweitung der Anwendung der Richtlinie:
Es werden eindeutige Kriterien genannt, anhand derer nationale Behörden weitere unter die Richtlinie fallende Einrichtungen bestimmen können. - Bezug zu Lieferketten:
Cybersicherheit ist nunmehr auch in Lieferketten zu beachten. - Verwaltung:
Die Zusammenarbeit zwischen den Behörden in der EU soll gestärkt werden. - Erhöhung der Geldbußen:
Abhängig vom Sektor steigen die Geldbußen auf sieben Mio. EUR bzw. 2 % des Jahresumsatzes oder zehn Mio. EUR bzw. 1,4 % des Jahresumsatzes an. - Haftung der Führungskräfte:
Neu ist zudem, dass Führungskräfte der erfassten Einrichtungen künftig für Verstöße gegen die Vorschriften haften sollen. - Verkürzung der Meldepflichten:
Bisher mussten IT-Sicherheitsvorfälle den zuständigen Behörden innerhalb von 72 Stunden gemeldet werden. Nach der nun geltenden Richtlinie soll die erste Benachrichtigung an die zuständige Behörde innerhalb von 24 Stunden erfolgen, gefolgt von einer zweiten Benachrichtigung mit einer Analyse des Vorfalls innerhalb von 72 Stunden. Bei Datenschutzverletzungen hat sich an der Meldepflicht nichts geändert. Datenschutzverletzungen sind der zuständigen Behörde unverzüglich zu melden, spätestens aber innerhalb von 72 Stunden. - Errichtung einer Datenbank der Domänennamen-Registrierungsdaten:
Eines der Ziele der Initiative zur Reform der bestehenden Vorschriften zur Netz- und Informationssicherheit ist eine Pflicht zur Identifizierung von Domain-Inhabern zur Verbesserung der Sicherheit, Stabilität und Resilienz des Domain-Namen-Systems (DNS). Laut Artikel 28 der Richtlinie müssen Mitgliedsstaaten in Zukunft genaue und vollständige persönliche Informationen über die Inhaber in einer eigenen Datenbank wie dem Whois-Register in Einklang mit dem Datenschutzrecht sammeln und pflegen.
Praxis-Hinweis
Es bleiben nur noch gut 20 Monate, um die Vorgaben der NIS2 umzusetzen. Wir empfehlen Ihnen deshalb dringend, sich mit der Thematik auseinanderzusetzen. Falls sie Fragen zu den neu geltenden Vorschriften haben sollten oder Hilfe bei der Umsetzung der Regelungen benötigen, wenden Sie sich gerne an uns.