AssCompact suche
Home
Steuern & Recht
24. März 2023
Cybersecurity-Richtlinie der EU – Was die NIS-2-Richtlinie bringt

2 / 3

Cybersecurity-Richtlinie der EU – Was die NIS-2-Richtlinie bringt

Pflichten der Betroffenen

Die betroffenen Unternehmen müssen geeignete und verhältnis­mäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Cybersicherheit zu gewährleisten. In der Praxis wird dies durch ein detailliertes Risikomanagementsystem umgesetzt werden müssen. An diese Managementsysteme stellt die EU zahlreiche Mindestanforderungen. Das Risikomanagementsystem muss mindestens die folgenden Punkte abdecken:

  • die Erstellung von Risikoanalyse- und Informationssicherheitskonzepten einschließlich Maßnahmen zur Bewältigung von Sicherheitsvorfällen
  • Maßnahmen zur Aufrechterhaltung des Betriebs (wie Back-up-Management)
  • Sicherheit der Lieferketten
  • sonstige Sicherheitsmechanismen wie beispielsweise: Mitarbeiterschulungen, Verschlüsselung, Multi-Faktor-Authentifizierung, sichere Kommunikationsmittel und Zugriffskontrollen.

Zusätzlich besteht für Unter­nehmen eine Pflicht, Bericht über Sicherheitsvorfälle an die zuständige Behörde zu erstatten. Bei Sicherheitsvorfällen, die Auswirkungen auf die von Unternehmen erbrachten Dienste haben, ist in einem abgestuften Verfahren binnen 24 und 72 Stunden Bericht zu erstatten. In besonders schweren Fällen sind zudem die Nutzer der Dienste zu informieren.

Nachdruck verleiht der NIS-2-Richtlinie das in ihr verankerte Haftungsrisiko für die Unternehmensleitung. Leitungsorgane haben die Umsetzung geeigneter Schutzmaßnahmen zu überwachen. Für Verstöße dagegen können sie persönlich haftbar gemacht werden. Die genaue Ausgestaltung der Haftungsregeln unterliegt jedoch den Mitgliedsstaaten bei der Umsetzung in nationales Recht.

 
Ein Artikel von
Hagen Küchler