IT Recht

NIS-2-Richtlinie- Ein kurzer Überblick

23.04.2024
Zuletzt bearbeitet am: 23.04.2024

Unternehmen und öffentliche Einrichtigungen sind zunehmend Cyberangriffen ausgesetzt. Um das Cyberniveau in der EU verpflichtend auf ein hohes Niveau zu heben, ist inzwischen die sog. NIS-2-Richtlinie in Kraft getreten. Dazu ein kurzer Überblick:

  1. Was ist Ziel der NIS-2-RL?
    Ziel ist die Anhebung des Cybersicherheitsniveaus in der EU auf ein hohes Niveau.
     
  2. Ab wann gilt die NIS-2-RL?
    Die NIS-2-RL gilt auf EU-Ebene seit 2023 und muss bis zum 17.10.2024 auf nationaler Ebene umgesetzt werden.
     
  3. Wen betrifft die NIS-2-RL?
    Die NIS-2-RL betrifft Unternehmen, die als kritisch eingestuft wurden, unabhängig von ihrer Größe (u.a. KRITIS-Unternehmen).

    Im Übrigen sind Anknüpfungspunkte (wobei zwischen wesentlichen und wichtigen Einrichtungen unterschieden wird):

    a) die Sektorenzugehörigkeit
    (Auflistung in Anhang I (Sektoren mit hoher Kritikalität (bspw. Energie, Verkehr, Gesundheitswesen) und Anhang II der NIS-2-RL (Sonstige kritische Sektoren, bspw. Post- und Kurierdienste, Verarbeitendes Gewerbe, Anbieter digitaler Dienste (Marktplätze, Social Media Netzwerke)) und

    b) die Unternehmensgröße
    (mindestens mittlere Unternehmen, d.h. mit mind. 50 Beschäftigten oder mind. 10 Mio. Euro Jahresumsatz).

    Die NIS-2-RL gilt also für kleine Unternehmen nicht, es sei denn diese wurden als wesentlich oder kritisch eingestuft.
     
  4. Welche Pflichten treffen Unternehmen, die unter die NIS-2-RL fallen?
    Wesentliche und wichtige Einrichtungen müssen "geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme (...) zu beherrschen". Auswirkungen von Sicherheitsvorfällen sollen verhindert oder zumindest gering gehalten werden. Unternehmen, die der NIS-2-RL unterliegen, müssen daher u.a. folgende Verpflichtungen erfüllen:

    - Einführung eines Risikomanagements zur Risikoanalyse
    - Einführung eines Incident Managements (Cybervorfälle vorbeugen, erkennen, bewältigen)
    - Business Continuity (Krisenmanagement, Backupmanagement, Notfallwiederherstellung)
    - Einführung eines Sicherheitsmanagements in der Lieferkette
    - Einführung eines Sicherheitsmangagements für Beschäftigte (Schulungen, Richtlinien, etc.)
    - Cyberhygiene
    - Sicherheit beim Einkauf (Erwerb, der Entwicklung, Wartung v. IT-Systemen)
    - Einsatz gesicherter Notfall-Kommunikations-Systeme
    - Vorgaben bzgl. Kryptografie, Verschlüsselung für wesentliche Bereiche
    - Evaluation der ergriffenen Maßnahmen
    - Einsatz von Multi-Faktor-Authentifizierung und Single-Sign-On
    - Meldepflichten bei Sicherheitsvorfällen (innerhalb von 24 Stunden)
     
  5. Welche Sanktionen treffen Unternehmen bei Pflichtverletzungen? 
    Der Bußgeldrahmen liegt für wesentliche Einrichtungen bei 10 Mio. Euro oder 2 Prozent des weltweiten Umsatzes.

    Wichtige Einrichtungen können mit bis zu 7 Mio. Euro oder 1,4 Prozent des weltweiten Umsatzes sanktioniert werden, wenn sie gegen Pflichten aus der NIS-2-RL verstoßen.

    Haben Sie Beratungsbedarf zur NIS-2-Richtlinie, sprechen Sie mich gerne an!
Diesen Artikel bewerten
Über den Autor

Gesamt:

Nina Hiddemann
Rechtsanwalt • Fachanwältin für Informationstechnologierecht
Am Römerturm 1
50667 Köln

Telefon: 0221 200 51 76


Honorar/Leistung: (0)
Erreichbarkeit: (0)
Verständlichkeit: (0)
Freundlichkeit: (0)
Diesen Rechtsanwalt bewerten
Vereinbaren Sie hier eine Rechtsberatung zum Artikel-Thema:
Kontaktieren Sie hier Fachanwalt Nina Hiddemann:
* Pflichtfeld
Ja, ich willige ein, dass meine im „Kontaktformular“ eingetragenen personenbezogenen Daten zum Zwecke der Angebotsvermittlung per Fax und E-Mail an den zu kontaktierenden Anwalt übermittelt und gespeichert werden. Diese jederzeit widerrufliche Einwilligung sowie die Verarbeitung und Datenübermittlung durch Dritte erfolgen gem. unserer Datenschutzerklärung.
Kontaktieren
Weitere Artikel der Redaktion zum Thema
IT Recht Nur einmal Widerrufsrecht auch bei Fernabsatzvertrag mit Abo

Luxemburg (jur). Das besondere Widerrufsrecht bei sogenannten Fernabsatzverträgen, etwa über das Internet, besteht nur ein einziges Mal zu Beginn des Vertrags. Auch bei einer automatischen Verlängerung zum Ende der Laufzeit besteht ein erneutes Widerrufsrecht dann nicht, urteilte am Donnerstag, 5. Oktober 2023, der Europäische Gerichtshof (EuGH) in Luxemburg (Az.: C-565/22). Anderes gilt danach nur, wenn die Kunden nicht hinreichend über die Gesamtkosten des Abonnements informiert wurden.  Im Streitfall geht es um das Berliner Unternehmen Sofatour, eine Internet-Lernplattform für Schülerinnen und Schüler „von der 1. Klasse bis zum Abschluss“. Verträge können ... weiter lesen

IT Recht Kein Schadenersatz wegen Datenschutzverstoß von Facebook

Hamm (jur). Der Facebook-Mutterkonzern Meta muss für ein nicht verhindertes unrechtmäßiges Sammeln und Veröffentlichen von Nutzerdaten durch Unbekannte den Betroffenen grundsätzlich Schadenersatz zahlen. Hierfür reicht es aber nicht aus, dass die betroffene Person wegen der Weitergabe von Daten wie der Mobiltelefonnummer und des Namens pauschal auf einen empfundenen Kontrollverlust und ihre Ängste hinweist, entschied das Oberlandesgericht (OLG) Hamm in einem am Mittwoch, 6. September 2023, bekanntgegebenen Urteil (Az.: 7 U 19/23).  Hintergrund des Rechtsstreits war sogenanntes Scraping (englisch für zusammenkratzen) bei Facebook. Unbekannte hatten spätestens seit ... weiter lesen

IT Recht Welche Online-Werbung ist erlaubt?

Um neue Zielgruppen zu erschließen, das Firmenimage aufzupolieren und den Umsatz zu steigern, setzen Unternehmen gezielt Werbung im Internet ein. Meist kommt es dabei zu einer Kombination aus mehreren Marketingmaßnahmen, die gemeinsam zum Erfolg führen können. Um Abmahnungen und Strafzahlungen zu vermeiden, sollten sich Firmen vorab damit befassen, welche Arten von Werbung sie unbedingt unterlassen sollten.  Die Rahmenbedingungen für Werbung im Internet Auch im Internet gilt das Gesetz gegen den unlauteren Wettbewerb (UWG) . Demzufolge müssen Unternehmen Folgendes beachten:  Werbung darf nicht irreführend sein. Das ist zum Beispiel dann der Fall, ... weiter lesen

IT Recht Hohe Hürden für Beschränkung von Google-Suchtreffern

Karlsruhe (jur). Damit Suchmaschinen angeblich unwahre Berichte im Internet nicht mehr als Suchtreffer anzeigen, müssen stichhaltige Gründe vorliegen. Wird ein Finanzdienstleister und dessen Ehefrau in mehreren Online-Artikeln kritisiert, können sie nur bei „offensichtlich unrichtigen“ Informationen und bei einer Verletzung ihrer Rechte die Auslistung und damit Nichtanzeige der Texte bei den Google-Suchergebnissen verlangen, urteilte am Dienstag, 23. Mai 2023, der Bundesgerichtshof (BGH) (Az.: VI ZR 476/18). Allerdings können Vorschaubilder in den Suchergebnissen das Recht am eigenen Bild verletzen, wenn diese „ohne jeden Kontext“ angezeigt werden, so die Karlsruher ... weiter lesen

Ihre Spezialisten