Die NIS-2-Richtlinie, auch bekannt als die zweite EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, regelt auf EU-Ebene verschiedene Aspekte der Cybersicherheit. Sie wurde am 27.12.2022 im Amtsblatt L333 der Europäischen Union veröffentlicht und soll die Widerstandsfähigkeit und Sicherheit von Informationstechnologie-Systemen, insbesondere von kritischen Infrastrukturen und digitalen Diensten, erhöhen. Die NIS-2-Richtlinie zielt darauf ab, Bedrohungen und Risiken im Bereich der Cybersicherheit anzugehen und die Auswirkungen von Cyberangriffen zu begrenzen.

Ziele der NIS-2-Richtlinie

Die NIS-2-Richtlinie hat folgende Ziele:

1. Verbesserung der Cybersicherheit von kritischen Infrastrukturen und digitalen Diensten: Die Richtlinie legt Sicherheitsanforderungen für Sektoren fest, die als „besonders wichtig“ oder „wichtig“ gelten, wie Energie, Verkehr, Finanzdienstleistungen, Gesundheitswesen und digitale Dienste.
2. Erhöhung der Kooperation zwischen EU-Mitgliedstaaten: Die Richtlinie fördert den Informationsaustausch über Bedrohungen und Vorfälle, den Austausch bewährter Verfahren und die Entwicklung gemeinsamer Abwehrstrategien.
3. Verpflichtung zu sicherheitsrelevanten Maßnahmen: Unternehmen in betroffenen Sektoren müssen angemessene Sicherheitsmaßnahmen ergreifen, um Risiken zu minimieren und Störungen in ihren Netz- und Informationssystemen zu verhindern.
4. Verstärkte Rolle der Aufsichtsbehörden: Die Richtlinie bestimmt, dass Mitgliedstaaten nationale Behörden für die Überwachung und Durchsetzung der Cybersicherheitsanforderungen benennen sollen.
5. Berichtspflicht über schwerwiegende Vorfälle: Unternehmen müssen schwerwiegende Cyber-Vorfälle an nationale Behörden melden, um Bedrohungen zu analysieren und die Gesamtsicherheit zu verbessern.
6. Förderung von Cybersicherheitskultur: Die Richtlinie betont die Bedeutung von Sensibilisierung, Schulung und Ausbildung, um die Widerstandsfähigkeit auf individueller und organisatorischer Ebene zu stärken.

Die NIS-2-Richtlinie zielt darauf ab, die Sicherheit und Stabilität der digitalen Infrastrukturen in der EU zu gewährleisten, um die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen und die potenziellen Auswirkungen von Vorfällen zu minimieren.

NIS-2-Richtlinie und Compliance

Die NIS-2-Richtlinie könnte die Haftungsrisiken für das Management von Unternehmen erhöhen, insbesondere für Geschäftsführer, Vorstände und andere leitende Führungskräfte. Die Richtlinie legt verstärkte Anforderungen an die Cybersicherheit fest, insbesondere in den Sektoren, die als „besonders wichtig“ oder „wichtig“ eingestuft werden. Hier sind einige der Haftungsrisiken, die durch die NIS-2-Richtlinie entstehen könnten:

• Persönliche Haftung für Cyber-Risiken: Die NIS-2-Richtlinie fordert angemessene technische und organisatorische Maßnahmen, um Störungen in Netz- und Informationssystemen zu vermeiden. Leitende Führungskräfte könnten persönlich haftbar gemacht werden, wenn sie nicht ausreichend handeln.
• Zustimmung und Überwachung der Sicherheitsmaßnahmen: Mitglieder des Managements müssen Sicherheitsmaßnahmen billigen und überwachen. Bei mangelnder Sorgfalt könnten sie für Schäden verantwortlich gemacht werden.
• Pflicht zur Teilnahme an Schulungen: Die Richtlinie sieht vor, dass Mitglieder des Managements Schulungen besuchen müssen, um die Fähigkeit des Unternehmens zur Ergreifung angemessener Sicherheitsmaßnahmen sicherzustellen.
• Mangelnde Meldung schwerwiegender Vorfälle: Die Richtlinie verlangt, dass Unternehmen schwerwiegende Cyber-Vorfälle melden. Vernachlässigung könnte zu rechtlichen Konsequenzen führen.
• Verstoß gegen Sicherheitsanforderungen: Wenn das Management festgelegte Sicherheitsanforderungen nicht erfüllt und ein Cyber-Vorfall verursacht wird, könnten Haftungsansprüche entstehen.

Die genauen Haftungsrisiken können je nach Gesetzen und Bestimmungen variieren. Die NIS-2-Richtlinie betont jedoch die Bedeutung der Cybersicherheit auf Führungsebene und die Notwendigkeit, angemessene Sicherheitsmaßnahmen zu ergreifen.

Kontakt

Rechtsanwalt Dr. Andreas Grözinger – Gercke Wollschläger (gw-strafrecht.de)

groezinger@gw-strafrecht.de