In unserem heutigen Beitrag wollen wir die Rolle der Geschäftsleitung im Rahmen der NIS-2 Richtlinie beleuchten. Hier gehts zurück zu unserem ersten Beitrag NIS-2 Erste Einschätzung
Zunächst zur Vollständigkeit: Gemäß des dritten Referentenentwurfs sollen öffentlichen Einrichtungen von der Pflicht zur Umsetzung ausgenommen werden. Das ist eine sehr pragmatische Entscheidung. Die öffentlichen Einrichtungen verwalten einen Berg von sensiblen Daten der Bürger, aber sie sind nicht in der Lage das Gesetz zu diesem Zeitpunkt umzusetzen. Wir hoffen, dass die öffentlichen Einrichtungen im finalen Gesetz trotzdem verpflichtet werden, auf die Compliance hinzuarbeiten.
Die Geschäftsleitung wird deutlich in das Gesetz eingebunden. Eine der wichtigsten Regelungen ist, dass nun auch die Geschäftsleitung an regelmäßigen Schulungen teilnehmen muss, damit sie in der Lage sind, die Einhaltung des Gesetzes zu überwachen.
Die Geschäftsleitung muss die Maßnahmen billigen, umsetzen und überwachen. Zudem darf die Verantwortung nicht an Mitarbeitende oder Außenstehende abgegeben werden. Natürlich muss die Geschäftsleitung die Maßnahmen nicht selbst umsetzen, aber es empfiehlt sich regelmäßig über die Maßnahmen informieren zu lassen.
Sämtliche Vereinbarungen zwischen dem Unternehmen und der Geschäftsleitung, in der die Geschäftsleitung von Strafzahlungen ausgenommen wird, sind unwirksam. Bei einem Verstoß müssen Ersatzansprüche des Unternehmens gegenüber der Geschäftsführung geltend gemacht werden.
Das Bundesamt für Sicherheit in der Informationstechnik erhält einige Befugnisse im Rahmen der NIS-2. Es dient als zentrale Meldestelle von Sicherheitsvorfällen.
Betroffene Unternehmen müssen sich innerhalb von 3 Monaten nach Inkrafttreten des Gesetzes beim BSI registriert haben. Natürlich müssen Unternehmen selbst überprüfen, ob sie betroffen sind. Unternehmen sollten im Zweifelsfall anwaltlichen Rat einholen, damit sie Klarheit darüber erlangen, ob sie betroffen sind.
Das BSI ist sogar dazu befugt die Geschäftsleitung von ihrer Tätigkeit zu auszuschließen, bis die Maßnahmen umgesetzt sind. Es wird spannend zu sehen, ob das BSI davon gebrauch machen wird.
Wirklich geschäftsschädigend wird es, wenn das BSI öffentliche Warnungen zum Unternehmen herausgibt oder Genehmigungen, die für das Tätigkeitsfeld nötig sind, entzieht.
Eine Frühwarnung innerhalb von 24h ab Kenntnis des Sicherheitsvorfalls. Das heißt Unternehmen müssen eine Meldung beim BSI abgeben, wenn der Verdacht besteht, dass ein Sicherheitsvorfall rechtswidrig oder böswillig eingetreten ist.
Nach 72h muss eine ein ausführlicherer Bericht vorgelegt werden, in dem der Sicherheitsvorfall bewertet wird. Aus dem Bericht muss, der Schweregrad und die Auswirkung bewertet werden.
Nach einem Monat wird ein Fortschritts- bzw. Abschlussbericht gefordert in dem ausführlich über die Bedrohung, Ursachen, Abhilfemaßnahmen und die Auswirkungen informiert wird.
Die NIS-2 sieht sehr empfindliche Strafen für Verstöße vor.
Für wesentliche Einrichtungen können Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) verhängt werden.
Für wichtige Einrichtungen beträgt das Bußgeld bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).
Die NIS-2 wird zur Chefsache. Die Geschäftsleitung muss sich mit der NIS-2 befassen, denn ohne IT ist heute ist kein Unternehmen mehr arbeitsfähig. Was die Cybersicherheit von Unternehmen angeht, hat Deutschland Nachholbedarf. Vielleicht hilft das Gesetz dem Unternehmensstandort Deutschland Innovationen nicht nur im Sicherheitsbereich voranzutreiben, sondern sich generell im weltweiten Wettbewerb besser zu positionieren.
Find us on social media as well!