„Die Chefs sollen persönlich haften“ sagt der Berichterstatter des EU-Parlaments, Bart Groothuis in einem Interview gleich nach dem Trilog des EU-Parlaments und bezieht sich auf die beschlossene neue Richtlinie über die Netzwerk- und Informationssicherheit (NIS).
Demnach sollen Unternehmen und Behörden, die in der EU ansässig sind und eine wesentliche Rolle für die Wirtschaft und Gesellschaft darstellen, neue IT-Sicherheit betreffende Auflagen umsetzen.
Sollte nachgewiesen werden, dass nicht ausreichend für die IT-Sicherheit gemacht wurde, werden die zuständigen Führungskräfte für etwaige Ausfälle verantwortlich und haftbar gemacht.
Auf diese erweiterte Richtlinie hat sich das EU-Ministerrat, das Parlament und die Kommission der EU-Gremien verständigt und somit die bereits 2013 beschlossene NIS-Richtline erweitert.
Demnach sollen Unternehmen und Behörden, die in der EU ansässig sind und eine wesentliche Rolle für die Wirtschaft und Gesellschaft darstellen, neue IT-Sicherheit betreffende Auflagen umsetzen.
Sollte nachgewiesen werden, dass nicht ausreichend für die IT-Sicherheit gemacht wurde, werden die zuständigen Führungskräfte für etwaige Ausfälle verantwortlich und haftbar gemacht.
So heißt es explizit in dem Entwurf: „Werden Geldbußen Personen auferlegt, bei denen es sich nicht um Unternehmen handelt, so sollte die Aufsichtsbehörde bei der geeigneten Bemessung der Geldbuße dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedstaat und der wirtschaftlichen Lage der Personen Rechnung tragen.“
Auf diese erweiterte Richtlinie hat sich das EU-Ministerrat, das Parlament und die Kommission der EU-Gremien vorläufig verständigt und somit die 2016 in Kraft getretene NIS-Richtline erweitert.
Geldbußen bis zu 2% des Jahresumsatzes
Die betroffenen Unternehmen, Behörden und Betreiber wesentlicher Dienste und wichtiger Services müssen bei Verstößen mit Geldbußen bis zu 2% des weltweiten Jahresumsatzes oder 10 Millionen Euro rechnen.
Für die Bestimmung des Bußgeldes hat man sich auf die durchschnittliche Lösegeldforderung der Ransomware- und Verschlüsselungstrojanern-Erpresser verständig.
Diese Maßnahmen sollen dazu führen, dass die Unternehmen in die Cyber-Sicherheit und nicht in Lösegeldforderungen und Cyber-Kriminelle investieren sollen, so Groothuis weiter in seiner Ausführung.
Durch die Anbindung der persönlichen Haftung der Führungspersonen erhofft man sich schnelle und konsequente Umsetzung der Sicherheitsmaßnahmen.
NIS2 vs. DSGVO
Anders als bei Datenschutzverstößen, erhalten die zuständigen Behörden eine Rechtsgrundlage, um Netzwerke auf unsichere Systeme zu scannen.
Dies versetzt sie proaktiv für die Durchsetzung der neuen NIS2-Richtlinie zu sorgen!
Wird eine gravierende Störung durch den Betreiber selbst entdeckt, hat er, ähnlich wie bei Datenschutzverstößen, diese der zuständigen Behörde unverzüglich mitzuteilen.
Im vergleich zu der DSGVO, die überall dort zum Einsatz kommt, wo Personenbezogenen Daten verarbeitet werden, wird die NIS2-Richtlinie lediglich auf mittlere und große Einrichtungen sowie auf Branchen angewandt.
Essenzielle und wichtige Sektionen
Unternehmen die in den Branchen Gesundheit, Bank- und Finanzwesen, Energie aber auch Abwasser und Trinkwasser-Versorgung, Transport und Digitale Infrastruktur tätig sind, zählen zu den essenziellen Sektoren.
Die Raumfahrt und die Öffentliche Verwaltung sind ebenfalls dort angesiedelt und müssen besondere IT-Sicherheitsmaßnahmen vornehmen.
Des Weiteren werden Unternehmen, die mit der Ernährungs-Herstellung, Abfall-Entsorgung, Chemikalien und der Industrie im Allgemeinen zu tun haben, als wichtigen Sektoren bezeichnet.
Verschiedene Digitale Dienste sowie Post und Kuriere, soweit sie nicht zu den essenziellen Sektoren zählen, werden bei den wichtigen Sektoren angesiedelt.
Daher haben diese Unternehmen vom Gesetzgeber aus, nicht nur die Aufgabe sich gegen Daten-Diebstahl, sondern auch gegen Sabotage abzusichern!
Aktuelles Angebot
Schulung – Absichern & Versichern
Absichern & Versichern - wie Sie Angriffe rechtzeitig erkennen und erfolgreich abwehren
Angebot anschauenMaßnahmen zur NIS2-Umsetzung
Die betroffenen Unternehmen und Behörden müssen mindestens die folgenden Sicherheitsmaßnahmen ergreifen, die in Artikel 17 und 18 festgelegt worden sind:
Richtlinien
Bewältigung von Sicherheitsvorfällen
Betriebliches Kontinuitäts- und Krisenmanagement
Sicherstellung der gesamten Lieferkette
Offenlegung von Schwachstellen
Testing
Audit
Kryptografie & Verschlüsselung
Zugriffskontrolle
Zusätzlich müssen sich Anbieter von kritischen digitalen Diensten und Infrastrukturen bei der ENISA registrieren.
Bedeutung
Bis diese Richtline verabschiedet wird, muss es noch dem Plenum vorgelegt und darüber angestimmt werden.
Doch Aufgrund der steigenden Zahl der Cyberkriminalität und Hacker-Angriffen auf wichtige Infrastruktur, ist stark davon auszugehen, dass die NIS2.0 bald beschlossen und umgesetzt werden wird.
Zudem sind diese Maßnahmen ohnehin für die korrekte Einhaltung der Datenschutzverordnung notwendig, wo die Strafen doppelt so hoch ausfallen wie die in NIS2.0 vorgesehen und die Aufsichtsbehörden bereits Bußgelder in Milliardenhöhe verhängt haben.