Aufsicht und Durchsetzung
Zur Durchsetzung der Cybersicherheitsvorgaben werden die nationalen Behörden mit weitreichenden Befugnissen ausgestattet. Diese Befugnisse lassen sich in drei Kategorien unterteilen:
Erstens dürfen Behörden zur Aufsicht über Unternehmen Vor-Ort-Kontrollen und Sicherheit-Scans durchführen oder Zugang zu Daten und Dokumenten verlangen.
Zweitens dürfen sie zur Durchsetzung der NIS Warnungen zur IT-Sicherheit eines Unternehmens an die Öffentlichkeit herausgeben, Zwangsgelder festsetzen, oder verbindliche Anweisungen gegenüber dem Unternehmen erteilen.
Drittens ist es den Behörden möglich, zur Sanktionierung von Sicherheitsverstößen Bußgelder von bis zu 10 Mio. Euro oder 2% des gesamten weltweiten Jahresumsatzes zu verhängen. Angst, dass ein Verstoß sowohl mit einem Bußgeld nach der NIS-2-Richtlinie als auch nach der Datenschutzgrundverordnung (DSGVO) geahndet wird, muss kein Unternehmen haben. Die NIS-2-Richtlinie sieht vor, dass jedes Verhalten, das gegen beide Regelwerke verstößt, nur einmal mit einer Geldbuße geahndet werden soll.
Darüber hinaus wird der innereuropäische Aspekt des Themas Cybersicherheit verstärkt. Die nationalen Behörden sollen in einem ständigen Informationsaustausch miteinander stehen und es wird ähnlich wie bei den Datenschutzbehörden eine Kooperationsgruppe der Cybersicherheitsbehörden eingerichtet. Diese Kooperationsgruppe soll unterstützend bei der strategischen Zusammenarbeit unterschiedlicher nationaler Behörden tätig werden. Das Ergebnis mit dem größten praktischen Anwendungsbereich dieser europaweiten Zusammenarbeit dürfte das Schwachstellen-Register sein. Damit sollen Schwachstellen von IT-Systemen in einem einheitlichen Register veröffentlicht werden, sodass Anwender, Hersteller und Behörden fortlaufend ihre Systeme verbessern können.
Fazit: richtige Reaktion
Die NIS-2-Richtlinie ist die richtige Reaktion auf die derzeitigen Cyberbedrohungen. Umsetzungsschwierigkeiten dürften die wenigsten Unternehmen haben. Denn die Anforderungen der NIS-2-Richtlinie decken sich häufig mit denen der DSGVO – Stichwort: technische und organisatorische Maßnahmen. Die Umsetzung der DSGVO zeigt aber auch, dass die Zeit zum Handeln jetzt ist. Wer heute bereits handelt, kann kurzfristige kostenintensive Lösungen vermeiden und sich einen Vorsprung im Markt verschaffen.
Diesen Artikel lesen Sie auch in AssCompact 03/2023, S. 108 f., und in unserem ePaper.
Bild: © merklicht.de – stock.adobe.com
Seite 1 Cybersecurity-Richtlinie der EU – Was die NIS-2-Richtlinie bringt
Seite 2 Pflichten der Betroffenen
Seite 3 Aufsicht und Durchsetzung
Hagen Küchler 
- Anmelden, um Kommentare verfassen zu können
