Home

Intern

Global

Kontakt

de|en|pl

49 Länder – 110 Büros – 5.800 Mitarbeiter – 1 Unternehmen |

Weltweit

Anscheinend ist in Ihrem Browser JavaScript nicht aktiviert. Aktivieren Sie bitte JavaScript, und versuchen Sie es erneut.

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.

Die NIS-2-Richtlinie – Betroffene

Michał Majnusz und Alicja Szyrner

7. Oktober 2024

Die NIS-2-Richtlinie (Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union), die im Jahr 2023 in Kraft trat, sieht rechtliche Maßnahmen vor, die das allgemeine Cybersicherheitsniveau in der Union erhöhen sollen.

Die Frist für die Umsetzung der Richtlinie läuft bereits am 17. Oktober 2024 ab. Zurzeit dauern in Polen die Arbeiten an dem Entwurf einer Novelle des Gesetzes über das nationale Cybersicherheitssystem, die die Richtlinie NIS-2 umsetzt, an.

Persönlicher Anwendungsbereich der NIS-2-Richtlinie

Die NIS-2-Richtlinie erweitert den persönlichen Anwendungsbereich und vereinheitlicht die Pflichten für wesentliche Einrichtungen und wichtige Einrichtungen. Ob es sich bei einem Unternehmen um eine wesentliche oder wichtige Einrichtung handelt, ist anhand des Sektors, in dem das Unternehmen tätig ist, und seiner Größe zu beurteilen.

Zurzeit sieht der Entwurf des Gesetzes zur Umsetzung der Richtlinie die Aufteilung in folgende Sektoren mit hoher Kritikalität und sonstige kritische Sektoren vor:

Sektoren mit hoher Kritikalität	Sonstige kritische Sektoren
Energie, Verkehr, Digitale Infrastruktur, Produktion, Bankwesen und Finanzmarktinfrastrukturen, Gesundheitsschutz, Wasserversorgung und -verteilung, Abwasser, Verwaltung von IKT-Diensten, Öffentliche Verwaltung, Weltraum, Produktion, Herstellung und Handel mit chemischen Stoffen	Abfallbewirtschaftung, Anbieter digitaler Dienste, Forschung, Postdienste

Wesentliche Einrichtungen

Wesentliche Einrichtungen sind Einrichtungen, die in den Sektoren mit hoher Kritikalität Dienstleistungen zur Verfügung stellen, die für das Funktionieren von Gesellschaft und Wirtschaft erforderlich sind. Wesentliche Einrichtungen sind grundsätzlich Großunternehmen (d.h. sie beschäftigen mehr als 250 Personen und ihr Jahresumsatz überschreitet 50 Mio. Euro und/oder ihre Jahresbilanzsumme überschreitet 43 Mio. Euro), sowie kleinere Unternehmen, die Kriterien erfüllen, die auf ihre Schlüsselrolle für die Gesellschaft, die Wirtschaft oder für bestimmte Sektoren oder Arten von Diensten hindeuten.

Wichtige Einrichtungen

Wichtige Einrichtungen sind Einrichtungen, deren Tätigkeit erhebliche Auswirkungen auf das Funktionieren der Gesellschaft und der Wirtschaft der EU hat. Als wichtige Einrichtungen sind mittlere Unternehmen, die in Sektoren mit hoher Kritikalität tätig sind, und mittlere bzw. Großunternehmen, die in sonstigen kritischen Sektoren tätig sind, einzustufen.

Wie man sieht, ist der Bereich von Unternehmen, die als wesentliche und wichtige Einrichtungen eingestuft werden können, sehr weit. Von Bedeutung ist, dass die Unternehmer zum überwiegenden Teil selbst beurteilen werden müssen, ob sie wesentliche oder wichtige Einrichtungen sind, und inwieweit sie auf dieser Grundlage der NIS-2-Richtlinie unterliegen.

Pflichten und Verantwortlichkeit

Wesentliche und wichtige Einrichtungen werden zu entsprechendem Risikomanagement i.Z.m. Cybersicherheit verpflichtet sein, u.a. zu folgenden Maßnahmen:

Einführung von Konzepten in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
Bewältigung von Sicherheitsvorfällen,
Aufrechterhaltung des Betriebs und Krisenmanagement, wie Backup-Management und Wiederherstellung nach einem Notfall,
Sicherheit der Lieferkette,
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management von Schwachstellen des für die Dienstleistungserbringung verwendeten IT-Systems und deren Offenlegung;
Einführung von Konzepten und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
Einführung von grundlegenden Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
Einführung von Konzepten und Verfahren für den Einsatz von Kryptografie und Verschlüsselung;
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung.

Wenn keine ordnungsgemäßen Risikomanagementmaßnahmen im Rahmen der Cybersicherheit ergriffen werden, können sowohl die Einrichtungen als auch deren Organmitglieder zur Verantwortung gezogen werden; u.a. können hohe Bußgelder auferlegt werden, die bis zu 10 Mio. Euro oder sogar bis zu 2 Prozent des Jahresumsatzes des Unternehmens betragen können.

Angesichts des näher rückenden Endes der Frist für die Umsetzung der NIS-2-Richtlinie empfehlen wir, so schnell wie möglich zu überprüfen, ob das betreffende Unternehmen eine wesentliche oder wichtige Einrichtung darstellt. Unsere Experten unterstützen Sie hierbei gerne – schreiben Sie uns.