Die Cybersicherheits-Richtlinie NIS 2 wurde mit dem Ziel der Modernisierung und Weiterentwicklung der vorherigen NIS-Richtlinie verabschiedet. Ihre Hauptcharakteristik ist die Erweiterung des Anwendungsbereichs der früheren NIS-Richtlinie auf Sektoren wie die Herstellung von Medizingeräten, elektrischen Ausrüstungen und Kraftfahrzeugen sowie auf bestimmte B2B IKT-Dienste, darunter Anbieter verwalteter Dienste und Anbieter verwalteter Sicherheitsdienste. Es sollte beachtet werden, dass die Liste der relevanten Sektoren von den Mitgliedstaaten bei der Umsetzung der Richtlinie erweitert werden kann.
Die Einhaltung der Richtlinie wird neue Bewertungen erfordern, da die Möglichkeit besteht, dass einige Einrichtungen aus verschiedenen Mitgliedsstaaten reguliert werden könnten. Dies ist besonders bedeutend, da die NIS-2-Richtlinie nicht direkt anwendbar ist, sondern in nationales Recht der Mitgliedsstaaten umgesetzt werden muss.
Die Einrichtungen haben kurze Fristen, um die zuständige Behörde über erhebliche Sicherheitsvorfälle zu informieren. Zusätzlich beträgt die Frist für die Frühwarnung nur 24 Stunden. Es sollte beachtet werden, dass die NIS-2-Richtlinie eine sehr breite Definition erheblicher Sicherheitsvorfälle hat. Diese umfasst Sicherheitsvorfälle, die erhebliche Betriebsstörungen des Dienstes oder finanzielle Verluste für eine Einrichtung verursachen können oder verursacht haben, sowie solche, die natürlichen oder juristischen Personen erhebliche materielle oder immaterielle Schäden verursachen können oder verursacht haben.
Die Sanktionen, die der zuständigen Behörde zur Verfügung stehen, sind für die Nichteinhaltung der NIS-2-Regeln sehr streng und betragen bis zu 10 Millionen Euro oder mindestens 2 % des jährlichen Umsatzes des Unternehmens. Letztlich führt die NIS-2-Richtlinie zur Sicherstellung der Einhaltung die Möglichkeit der Haftung der Leitungsorgane des Unternehmens ein.
Umfasst von,
Daniel Vujacic, LL.M. (UW)