Die NIS2-Richtlinie wird bald in den Niederlanden in Kraft treten. Sie ist die Nachfolgerin der NIS-Richtlinie und konzentriert sich auf Risiken, die Netzwerk- und Informationssysteme bedrohen, wie z. B. Cybersicherheitsrisiken. Organisationen, die unter die NIS2-Richtlinie fallen, müssen dann die Sorgfalts- und Meldepflicht einhalten. In diesem Blog erörtert die Rechtsanwältin Anne-Mieke Dumoulin-Siemens, was die Richtlinie beinhaltet, was sie für Ihr Unternehmen bedeutet und welche Vorbereitungen Sie bereits treffen können.
Cybersicherheit verdient Aufmerksamkeit
Unternehmen werden mit der zunehmenden Digitalisierung und Cybervorfällen konfrontiert. Auf EU-Ebene wird den Herausforderungen der Cybersicherheit mit einer Reihe von neuen Vorschriften begegnet. So gibt es beispielsweise die NIS2-Richtlinie schon seit einiger Zeit. Die Netz- und Informationssicherheitsrichtlinie 2 (NIS2) zielt darauf ab, die Cybersicherheit und die digitale Widerstandsfähigkeit von Organisationen in den EU-Mitgliedstaaten zu verbessern. Die NIS2-Richtlinie enthält Mindestanforderungen und muss bis zum 17. Oktober 2024 in niederländisches Recht umgesetzt werden. Sobald die niederländische Gesetzgebung in Kraft tritt, müssen die in der Richtlinie genannten Sektoren die Verpflichtungen der NIS2-Richtlinie erfüllen, da diese dann in der niederländischen Gesetzgebung festgelegt werden.
Die NIS2-Richtlinie hat einen breiten Anwendungsbereich
Die NIS2-Richtlinie gilt für eine Vielzahl von Sektoren, wie z. B. das Gesundheitswesen, Verkehrsunternehmen und Energieversorger. Aber auch Supermärkte, Wasserwirtschaftsunternehmen und Digitalanbieter sollten sich auf die Verpflichtungen der NIS2-Richtlinie vorbereiten. In der NIS2-Richtlinie ist die Rede von Sektoren „mit hoher Kritikalität“ und „sonstigen kritischen“ Sektoren. Es gibt 11 Sektoren mit hoher Kritikalität: Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, Regierung und Raumfahrt. Darüber hinaus gibt es in der NIS2-Richtlinie sieben sonstige kritische Sektoren: Post- und Kurierdienste, Abfallwirtschaft, chemische Industrie, Lebensmittelindustrie, verarbeitende Industrie, digitale Anbieter und Forschung. Organisationen, die unter einen dieser Sektoren fallen, müssen Maßnahmen zum Risikomanagement ergreifen und die Anforderungen an die Berichterstattung zur Cybersicherheit erfüllen.
Wie können Sie feststellen, ob Ihre Organisation unter die NIS2-Richtlinie fällt?
Die Organisation muss zu einem der Sektoren mit hoher Kritikalität oder sonstigen kritischen Sektoren gehören. Außerdem ist es wichtig, wie groß die Organisation ist und ob sie eine Schlüsselrolle in der Gesellschaft spielt. Wenn sich herausstellt, dass die NIS2-Richtlinie anwendbar ist, müssen Sie prüfen, ob Ihre Organisation eine „wesentliche Organisation“ oder eine „wichtige Organisation“ ist. Die Regierung hat eine Selbsteinschätzung NIS 2 Self-assessment NL (regelhulpenvoorbedrijven.nl) vorbereitet. Mit dieser Selbsteinschätzung können Sie feststellen, ob die NIS2-Richtlinie auf Ihre Organisation zutrifft.
Um welche Maßnahmen geht es?
Kurz gesagt: Organisationen sollten geeignete technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Cybersicherheit und digitale Widerstandsfähigkeit ihrer Organisation zu verbessern. Unternehmen sollten Cyberrisiken ermitteln und das Sicherheitsniveau ihrer Netze und Informationssysteme entsprechend anpassen. So sollte beispielsweise ein großes Unternehmen, das hohen Risiken ausgesetzt ist, mehr Maßnahmen ergreifen als ein kleines Unternehmen, bei dem die Wahrscheinlichkeit eines Vorfalls mit großen sozialen und wirtschaftlichen Auswirkungen gering ist. Zu den Maßnahmen für die Cybersicherheit sollten der Umgang mit Zwischenfällen, das Back-up-Management, die Sicherheit der Lieferkette, die Cyber-Hygiene, die Schulung des Personals, sowie Zugangsrichtlinien und Maßnahmen zur Messung der Wirksamkeit dieser Maßnahmen gehören.
Welche weiteren Verpflichtungen ergeben sich aus der NIS2-Richtlinie?
Governance
Die NIS2-Richtlinie überträgt die Verantwortung für Cyber-Maßnahmen auf die Geschäftsleitung. Die Leitungsorgane von wesentlichen und wichtigen Organisationen müssen die Sicherheitsmaßnahmen genehmigen und deren Umsetzung überwachen. Die Mitglieder der Geschäftsleitung können bei Verstößen gegen die Sicherheitspflichten persönlich haftbar gemacht werden. Die Mitglieder der Geschäftsleitung müssen geschult werden, damit sie ausreichende Kenntnisse erwerben, um Cyber-Risiken zu erkennen und deren Folgen abzuschätzen.
Meldepflichten/Meldepflicht
Wesentliche und wichtige Organisationen müssen jeden Vorfall, der erhebliche Auswirkungen auf die Erbringung ihrer Dienstleistungen hat, unverzüglich melden. Dazu zählen Vorfälle, die zu einer erheblichen Störung des Betriebs der Dienste oder zu finanziellen Verlusten für die betroffene Organisation führen oder führen können. Oder ein Vorfall, der anderen (juristischen) Personen erheblichen materiellen oder finanziellen Schaden zufügt oder zufügen kann. Eine erste Meldung muss innerhalb von 24 Stunden an die zuständigen Behörden erfolgen, gefolgt von einer Aktualisierung innerhalb von 48 Stunden nach der ersten Meldung. Beachten Sie, dass eine Meldung auch erforderlich ist, wenn ein Vorfall erhebliche Folgen haben kann.
Welche Vorbereitungen können Organisationen im Vorfeld treffen?
Die Regierung ist dabei, die NIS2-Richtlinie in niederländisches Recht zu übertragen. Ein Gesetzentwurf ist noch nicht veröffentlicht worden. Im Moment ist nur klar, welche Mindestanforderungen erfüllt werden müssen, da diese aus der NIS2-Richtlinie hervorgehen.
Bis zur Verankerung in den nationalen Rechtsvorschriften könnten Sie bereits Folgendes tun:
- Bestimmen Sie anhand der NIS2-Selbstbewertung, ob Ihre Organisation unter die NIS2-Richtlinie fällt;
- Erfassen Sie, inwieweit der Vorstand seinen Governance-Pflichten nachkommt;
- Überprüfen Sie die Qualität der bestehenden technischen, betrieblichen und organisatorischen Sicherheitsmaßnahmen, einschließlich der Überwachungsmechanismen;
- Überprüfen Sie, ob Ihre Organisation die Melde- und Mitteilungspflichten erfüllen kann.
Fragen oder Ratschläge zur NIS2-Richtlinie und ihrer Umsetzung?
Wenn Sie weitere Erläuterungen zu den Governance-Verpflichtungen benötigen oder Fragen zu den Meldepflichten und Meldeanforderungen haben, wenden Sie sich bitte an Anne-Mieke Dumoulin-Siemens.
Möchten Sie mehr über Cybersicherheit erfahren?
Organisationen verfügen über eine Vielzahl vertraulicher Informationen. Die Verarbeitung von (speziellen) personenbezogenen Daten nimmt zu. Mehr und mehr Geschäftsinformationen sind auch digital verfügbar. Alle diese Daten Gold wert. Gelangen die Daten in die Hände der falschen Personen, kann dies zu kostspieligen Geschäfts- und Rufschädigungen führen. Vertrauliche Informationen innerhalb eines Unternehmens werfen manchmal heikle Fragen auf. Unsere Experten für Cybersicherheit beraten zu den Auswirkungen der Cybersicherheit auf den Geschäftsbetrieb.
Der Autor
Anne-Mieke Dumoulin-Siemens hat sich auf Wirtschafts- und Datenschutzrecht spezialisiert. Sie ist eine fachkundige Gesprächspartnerin für (internationale) Wirtschaftsunternehmen und Non-Profit Organisationen. Ihre Mandanten schätzen ihre praktische, wirtschaftlich gediegene juristische Beratung.