Dumoulin-Siemens

NIS2-Richtlinie: Tipps zur Vorbereitung Ihrer Organisation auf diese neue Verordnung

NIS2-Richtlinie: Tipps zur Vorbereitung Ihrer Organisation auf diese neue Verordnung 525 400 Ekelmans Advocaten
Blog afbeelding (500 x 400 px) (22)
Leestijd: 4 minuten
Lesedauer: 4 Minuten
Reading time: 4 minutes

Die NIS2-Richtlinie wird bald in den Niederlanden in Kraft treten. Sie ist die Nachfolgerin der NIS-Richtlinie und konzentriert sich auf Risiken, die Netzwerk- und Informationssysteme bedrohen, wie z. B. Cybersicherheitsrisiken. Organisationen, die unter die NIS2-Richtlinie fallen, müssen  dann die Sorgfalts- und Meldepflicht einhalten. In diesem Blog erörtert die Rechtsanwältin Anne-Mieke Dumoulin-Siemens, was die Richtlinie beinhaltet, was sie für Ihr Unternehmen bedeutet und welche Vorbereitungen Sie bereits treffen können.

Cybersicherheit verdient Aufmerksamkeit

Unternehmen werden mit der zunehmenden Digitalisierung und Cybervorfällen konfrontiert. Auf EU-Ebene wird den Herausforderungen der Cybersicherheit mit einer Reihe von neuen Vorschriften begegnet. So gibt es beispielsweise die NIS2-Richtlinie schon seit einiger Zeit. Die Netz- und Informationssicherheitsrichtlinie 2 (NIS2) zielt darauf ab, die Cybersicherheit und die digitale Widerstandsfähigkeit von Organisationen in den EU-Mitgliedstaaten zu verbessern. Die NIS2-Richtlinie enthält Mindestanforderungen und muss bis zum 17. Oktober 2024 in niederländisches Recht umgesetzt werden. Sobald die niederländische Gesetzgebung in Kraft tritt, müssen die in der Richtlinie genannten Sektoren die Verpflichtungen der NIS2-Richtlinie erfüllen, da diese dann in der niederländischen Gesetzgebung festgelegt werden.

Die NIS2-Richtlinie hat einen breiten Anwendungsbereich

Die NIS2-Richtlinie gilt für eine Vielzahl von Sektoren, wie z. B. das Gesundheitswesen, Verkehrsunternehmen und Energieversorger. Aber auch Supermärkte, Wasserwirtschaftsunternehmen und Digitalanbieter sollten sich auf die Verpflichtungen der NIS2-Richtlinie vorbereiten. In der NIS2-Richtlinie ist die Rede von  Sektoren „mit hoher Kritikalität“ und  „sonstigen kritischen“ Sektoren. Es gibt 11 Sektoren mit hoher Kritikalität: Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, Regierung und Raumfahrt. Darüber hinaus gibt es in der NIS2-Richtlinie sieben sonstige kritische Sektoren: Post- und Kurierdienste, Abfallwirtschaft, chemische Industrie, Lebensmittelindustrie, verarbeitende Industrie, digitale Anbieter und Forschung. Organisationen, die unter einen dieser Sektoren fallen, müssen Maßnahmen zum Risikomanagement ergreifen und die Anforderungen an die Berichterstattung zur Cybersicherheit erfüllen.

 Wie können Sie feststellen, ob Ihre Organisation unter die NIS2-Richtlinie fällt?

Die Organisation muss zu einem der Sektoren mit hoher Kritikalität oder sonstigen kritischen Sektoren gehören. Außerdem ist es wichtig, wie groß die Organisation ist und ob sie eine Schlüsselrolle in der Gesellschaft spielt. Wenn sich herausstellt, dass die NIS2-Richtlinie anwendbar ist, müssen Sie prüfen, ob Ihre Organisation eine „wesentliche Organisation“ oder eine „wichtige Organisation“ ist. Die Regierung hat eine Selbsteinschätzung NIS 2 Self-assessment NL (regelhulpenvoorbedrijven.nl) vorbereitet. Mit dieser Selbsteinschätzung können Sie feststellen, ob die NIS2-Richtlinie auf Ihre Organisation zutrifft.

Um welche Maßnahmen geht es?

Kurz gesagt: Organisationen sollten geeignete technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Cybersicherheit und digitale Widerstandsfähigkeit ihrer Organisation zu verbessern. Unternehmen sollten Cyberrisiken ermitteln und das Sicherheitsniveau ihrer Netze und Informationssysteme entsprechend anpassen. So sollte beispielsweise ein großes Unternehmen, das hohen Risiken ausgesetzt ist, mehr Maßnahmen ergreifen als ein kleines Unternehmen, bei dem die Wahrscheinlichkeit eines Vorfalls mit großen sozialen und wirtschaftlichen Auswirkungen gering ist. Zu den Maßnahmen für die Cybersicherheit sollten der Umgang mit Zwischenfällen, das Back-up-Management, die Sicherheit der Lieferkette, die Cyber-Hygiene, die Schulung des Personals, sowie Zugangsrichtlinien und Maßnahmen zur Messung der Wirksamkeit dieser Maßnahmen gehören.

Welche weiteren Verpflichtungen ergeben sich aus der NIS2-Richtlinie?

Governance

Die NIS2-Richtlinie überträgt die Verantwortung für Cyber-Maßnahmen auf die Geschäftsleitung. Die Leitungsorgane von wesentlichen und wichtigen Organisationen müssen die Sicherheitsmaßnahmen genehmigen und deren Umsetzung überwachen. Die Mitglieder der Geschäftsleitung können bei Verstößen gegen die Sicherheitspflichten persönlich haftbar gemacht werden. Die Mitglieder der Geschäftsleitung müssen geschult werden, damit sie ausreichende Kenntnisse erwerben, um Cyber-Risiken zu erkennen und deren Folgen abzuschätzen.

Meldepflichten/Meldepflicht

Wesentliche und wichtige Organisationen müssen jeden Vorfall, der erhebliche Auswirkungen auf die Erbringung ihrer Dienstleistungen hat, unverzüglich melden. Dazu zählen Vorfälle, die zu einer erheblichen Störung des Betriebs der Dienste oder zu finanziellen Verlusten für die betroffene Organisation führen oder führen können. Oder ein Vorfall, der anderen (juristischen) Personen erheblichen materiellen oder finanziellen Schaden zufügt oder zufügen kann. Eine erste Meldung muss innerhalb von 24 Stunden an die zuständigen Behörden erfolgen, gefolgt von einer Aktualisierung innerhalb von 48 Stunden nach der ersten Meldung. Beachten Sie, dass eine Meldung auch erforderlich ist, wenn ein Vorfall erhebliche Folgen haben kann.

Welche Vorbereitungen können Organisationen im Vorfeld treffen?

Die Regierung ist dabei, die NIS2-Richtlinie in niederländisches Recht zu übertragen. Ein Gesetzentwurf ist noch nicht veröffentlicht worden. Im Moment ist nur klar, welche Mindestanforderungen erfüllt werden müssen, da diese aus der NIS2-Richtlinie hervorgehen.

Bis zur Verankerung in den nationalen Rechtsvorschriften könnten Sie bereits Folgendes tun:

  • Bestimmen Sie anhand der NIS2-Selbstbewertung, ob Ihre Organisation unter die NIS2-Richtlinie fällt;
  • Erfassen Sie, inwieweit der Vorstand seinen Governance-Pflichten nachkommt;
  • Überprüfen Sie die Qualität der bestehenden technischen, betrieblichen und organisatorischen Sicherheitsmaßnahmen, einschließlich der Überwachungsmechanismen;
  • Überprüfen Sie, ob Ihre Organisation die Melde- und Mitteilungspflichten erfüllen kann.

Fragen oder Ratschläge zur NIS2-Richtlinie und ihrer Umsetzung?

Wenn Sie weitere Erläuterungen zu den Governance-Verpflichtungen benötigen oder Fragen zu den Meldepflichten und Meldeanforderungen haben, wenden Sie sich bitte an Anne-Mieke Dumoulin-Siemens.

Möchten Sie mehr über Cybersicherheit erfahren?

Organisationen verfügen über eine Vielzahl vertraulicher Informationen. Die Verarbeitung von (speziellen) personenbezogenen Daten nimmt zu. Mehr und mehr Geschäftsinformationen sind auch digital verfügbar. Alle diese Daten Gold wert. Gelangen die Daten in die Hände der falschen Personen, kann dies zu kostspieligen Geschäfts- und Rufschädigungen führen. Vertrauliche Informationen innerhalb eines Unternehmens werfen manchmal heikle Fragen auf. Unsere Experten für Cybersicherheit beraten zu den Auswirkungen der Cybersicherheit auf den Geschäftsbetrieb.

Der Autor

Anne-Mieke Dumoulin-Siemens hat sich auf Wirtschafts- und Datenschutzrecht spezialisiert. Sie ist eine fachkundige Gesprächspartnerin für (internationale) Wirtschaftsunternehmen und Non-Profit Organisationen. Ihre Mandanten schätzen ihre praktische, wirtschaftlich gediegene juristische Beratung.

Anne-Mieke Dumoulin-Siemens hielt auf dem Frühjahrsseminar der DNRV einen Vortrag über Gesellschaftsrecht

Anne-Mieke Dumoulin-Siemens hielt auf dem Frühjahrsseminar der DNRV einen Vortrag über Gesellschaftsrecht 640 480 Ekelmans Advocaten
Anne-Mieke presenteert
Leestijd: 2 minuten
Lesedauer: 2 Minuten
Reading time: 2 minutes
Expertise:

Im Rahmen des DNRV-Frühjahrsseminars 2023 erhielten die Teilnehmer an einem besonderen Ort, nämlich bei Crashtest Service in Münster, einen Crashkurs im Gesellschaftsrecht. Gemeinsam mit Manfred Richter hielt Anne-Mieke Dumoulin-Siemens einen Vortrag über die Grundzüge des deutschen sowie des niederländischen Gesellschaftsrechts.

Anne-Mieke Dumoulin-Siemens und Manfred Richter (Alpmann Fröhlich) verglichen in einem gut verständlichen Duo-Vortrag die verschiedenen Rechtsformen aus deutscher und niederländischer Sicht.

Neben dem Vortrag von Anne-Mieke Dumoulin-Siemens und Manfred Richter sprach Dr. Marcus Meyer-Erdmann (Europäisches Handelsinstitut, Brüssel) über die grenzüberschreitende Unternehmensmobilität. Dr. Yorick Ruland und Dr. Ruth Büchl-Winter (Görg Rechtsanwälte) gaben einen Überblick über die Modernisierung der Personengesellschaften in Deutschland. Dies war die größte Änderung des Gesellschaftsrechts in den letzten Jahren.

Das Frühjahrsseminar fand wieder einmal an einem besonderen Ort statt: bei Crashtest Service in Münster, dem Dienstleister, wenn es um Crashtests für die Unfallrekonstruktion oder Standard-Crashtests geht. Auf der 30.000 m² großen Crashtest-Anlage werden Verkehrsunfälle realitätsnah rekonstruiert, Fahrzeugschutzsysteme, Anti-Terror-Systeme und Stützkonstruktionen im Straßenverkehr getestet.

Der Tag endete mit einer Präsentation von Crashtest Service, einem Rundgang und einer Vorführung. Und neben dem fachspezifischen Programm gab es später beim geselligen Umtrunk (Borrel) auch genügend Zeit für den persönlichen Austausch.

Über die Seminare des DNRV

Der DNRV veranstaltet zweimal im Jahr ein Seminar, abwechselnd in Deutschland und in den Niederlanden. Bei diesen Seminaren handelt es sich um hochkarätige fachliche und praxisorientierte Veranstaltungen. Rechtliche Themen werden meist von Experten aus dem Kreis der Mitglieder vorgetragen. Für praktische Themen lädt der DNRV Referenten aus Industrie, Ministerien und Behörden, wissenschaftlichen Einrichtungen oder Gerichten ein. In den Seminaren wird eine Vielzahl von Themen jeweils aus niederländischer und deutscher Sicht beleuchtet.

Möchten Sie mehr über unseren German Desk erfahren?

Unternehmer, die mit Deutschland Geschäfte machen, werden oft mit rechtlichen und kulturellen Unterschieden konfrontiert. Zum Beispiel bei Rechtsstreitigkeiten, der Gestaltung von Verträgen, der Gründung eines Unternehmens, der Einstellung von Mitarbeitern und dem Eingehen von Partnerschaften. Unser spezialisiertes Team von Rechtsanwälten hilft Ihnen, in Deutschland erfolgreich Geschäfte zu machen.

Auteur

Anne-Mieke Dumoulin-Siemens hat sich auf Wirtschafts- und Datenschutzrecht spezialisiert. Sie ist eine fachkundige Gesprächspartnerin für (internationale) Wirtschaftsunternehmen und Non-Profit Organisationen. Ihre Mandanten schätzen ihre praktische, wirtschaftlich gediegene juristische Beratung.

Robert und Anne-Mieke nahmen als Gastredner an einem Vortrag speziell für Unternehmensberater:innen und Exportmanager:innen

Robert und Anne-Mieke nahmen als Gastredner an einem Vortrag speziell für Unternehmensberater:innen und Exportmanager:innen 525 390 Ekelmans Advocaten
Beeld website
Leestijd: 2 minuten
Lesedauer: 2 Minuten
Reading time: 2 minutes
Expertise:

Am Dienstag, den 21. März 2023, nahmen unsere Kollegen Robert Kütemann und Anne-Mieke Dumoulin-Siemens als Gastredner an einem Vortrag speziell für Unternehmensberater:innen und Exportmanager:innen, die österreichische Unternehmer:innen beim Export rund ums Auslandsgeschäft professionell begleiten, teil.

Am Dienstag, den 21. März 2023, nahmen unsere Kollegen Robert Kütemann und Anne-Mieke Dumoulin-Siemens als Gastredner an einem Vortrag speziell für Unternehmensberater:innen und Exportmanager:innen, die österreichische Unternehmer:innen beim Export rund ums Auslandsgeschäft professionell begleiten, teil.

Eine zentrale Frage dabei war, welche rechtlichen Aspekte Unternehmer berücksichtigen sollten. Robert Kütemann und Anne-Mieke Dumoulin-Siemens referierten über den niederländischen Arbeitsmarkt und das niederländische Gesellschaftsrecht.

Dieser Länderworkshop (Webinar) ist Teil des Exportlehrgangs, der gemeinsam von der AUßENWIRTSCHAFT Austria der Wirtschaftskammer Österreich und dem Wiener Bildungsinstitut UBIT Akademie Incite, entwickelt wurde. Die AUßENWIRTSCHAFT AUSTRIA ist die Internationalisierungs- und Innovationsagentur der österreichischen Wirtschaft.

Möchten Sie mehr über unseren German Desk erfahren?

Unternehmer, die mit Deutschland Geschäfte machen, werden oft mit rechtlichen und kulturellen Unterschieden konfrontiert. Zum Beispiel bei Rechtsstreitigkeiten, der Gestaltung von Verträgen, der Gründung eines Unternehmens, der Einstellung von Mitarbeitern und dem Eingehen von Partnerschaften. Unser spezialisiertes Team von Rechtsanwälten hilft Ihnen, in Deutschland erfolgreich Geschäfte zu machen.

Auteur

Wie funktioniert das mit Schadensersatz bei Verstößen gegen die Bestimmungen zum Schutz personenbezogener Daten?

Wie funktioniert das mit Schadensersatz bei Verstößen gegen die Bestimmungen zum Schutz personenbezogener Daten? 1900 1357 Ekelmans Advocaten
Anne-Mieke Dumoulin-Siemens-Ekelmans Advocaten
Leestijd: 3 minuten
Lesedauer: 3 Minuten
Reading time: 3 minutes
Expertise:

Bei Verstößen gegen die Datenschutz-Bestimmungen hat der Betroffene Recht auf Vergütung des erlittenen Schadens durch die verantwortliche Partei. In der AVG (niederländische Abkürzung für „Algemene Verordening Gegevensbescherming“, auf Deutsch: „Datenschutz-Grundverordnung“, DSGVO) wird der Begriff „Schaden“ weit interpretiert. Sinn der AVG ist es, dass ein Betroffener vollständige und tatsächliche Vergütung des von ihm erlittenen Schadens erhält. Müssen sich Unternehmen jetzt gegen eine Welle von Forderungen Betroffener wappnen?

Im vergangenen Jahr sind in den Niederlanden mehrere Verstöße gegen die Datenschutzbestimmungen vor Gericht gekommen. Obwohl in jedem dieser Verfahren festgestellt wurde, dass die Bestimmungen der AVG verletzt wurden, mussten die jeweiligen Betroffenen doch noch beweisen, dass sie Schaden erlitten hatten. Die Entscheidung, einen Schadenersatz zuzuerkennen, muss nach der Rechtsprechung sowohl unter Berücksichtigung der AVG als auch des niederländischen Schadensersatzrechts gefällt werden. Die Beweislast, die das niederländische Schadensersatzrecht dem Betroffenen auferlegt, macht es ihm oder ihr nicht leicht, den Schaden infolge eines Verstoßes gegen die AVG ersetzt zu bekommen.

Niederländisches Schadensersatzrecht

Nach niederländischem Recht kann der Betroffene sowohl materiellen als auch immateriellen Schaden fordern. Dies ist jedoch einfacher gesagt als getan. Der Betroffene muss zunächst seinen Schaden konkret angeben. Welcher materielle Schaden wurde erlitten? Leidet der Betroffene unter Stress infolge der Vorstellung, dass seine an die Öffentlichkeit geratenen Daten missbraucht werden könnten? Oder handelt es sich um Rufschädigung? Darüber hinaus stellt sich die Frage, wie hoch der Schaden ist. Wie kalkuliert man zum Beispiel Rufschädigung? Als Drittes muss der kausale Zusammenhang zwischen dem von ihm erlittenen Schaden und dem Verstoß gegen die AVG durch den Verantwortlichen dargelegt werden.

Verstoß gegen die AVG in anderen Ländern

In anderen Ländern wird mit AVG-Schaden anders umgegangen. So wurde kürzlich in England Schadensersatz einzig und allein wegen eines Verstoßes gegen die AVG zuerkannt. Das Gericht erwog in diesem Fall, dass dem Betroffenen eine Vergütung zusteht, auch wenn kein Schaden nachgewiesen werden kann.

Es gibt Gründe dafür, dass der pure Verstoß gegen die Verpflichtungen aus der AVG für die Schlussfolgerung ausreichend sein muss, dass der Schaden eines Betroffenen vergütet werden muss. Schließlich ist Artikel 82 AVG folgendermaßen formuliert: Verstoß gegen die Datenschutz – Bestimmungen in der AVG führt zu einem Schadensersatzanspruch des Betroffenen.

Wenden die niederländische Gerichte die AVG korrekt an?
Wie verhält sich die verschuldensunabhängige Haftung in der AVG zu der verschuldensabhängigen Haftung im niederländischen Recht? Kann es sein, dass der Betroffene durch das nationale Recht eine „vollständige und tatsächliche“ Vergütung des von ihm erlittenen Schadens auf Grund eines Verstoßes gegen die AVG erhält? Das ist schließlich die Absicht der AVG. Eine Antwort auf diese Frage muss vom Europäischen Gerichtshof gegeben werden. Der Gerichtshof kann hierzu jedoch erst ein Urteil fällen, wenn die nationalen Gerichte dem Gerichtshof Vorabentscheidungsfragen gestellt haben.

Sammelklage und verschuldensabhängige Haftung AVG

Das „Wet afwikkeling massaschade collectieve actie“ (Abkürzung: WAMCA, Gesetz zur Schadensabwicklung mittels Sammelklage), das zum 1. Januar 2020 in Kraft getreten ist, macht es möglich, in einer Sammelklage Schadensersatz wegen Verstoßes gegen die AVG zu fordern. Die Vorteile einer Sammelklage bestehen darin, dass die oft hohen Kosten geteilt werden können und die Betroffenen Sachverständige hinzuziehen können, um den Umfang des Schadens und die Kausalität darzulegen. Mittels einer Sammelklage kann der Druck auf die Verantwortlichen erhöht werden, was dazu führen kann, dass dieser schneller zu einer außergerichtlichen Regelung bereit ist.

Jedoch müssen die Betroffenen, genau wie in einem individuellen Verfahren auch bei Sammelklage ihren Schaden konkret angeben, sein Umfang muss bewiesen und die Kausalität muss aufgezeigt werden.

Risiko auf Massenklagen wegen Verstößen gegen die AVG beschränkt

Müssen Unternehmen ernsthaft mit Sammelklagen von Betroffenen auf Grund des Verstoßes gegen die AVG rechnen? Das Risiko hierauf scheint beschränkt, solange die niederländischen Richter bei Verstößen gegen die AVG die „vollständige und tatsächliche“ Vergütung unter Berücksichtigung des niederländischen Schadensersatzrechts feststellen. Dennoch müssen Betriebe ihre Verpflichtungen bezüglich des Schutzes der personenbezogenen Daten ernst nehmen. Vorbeugen ist noch immer besser als heilen.

Autor

Ekelmans Advocaten N.V. gebraucht nur notwendige und analytische Cookies, um dafür zu sorgen, dass unsere Website bestmöglich funktioniert und um den Gebrauch unserer Website analysieren und verbessern zu können. Wir gebrauchen keine Cookies für Marketingzwecke. Lesen Sie hier mehr hierüber in unserem privacy statement and cookiestatement.