Was die NIS2-Richtlinie für die Geschäftsführung bedeutet
Vor allem die Geschäftsleitung ist von der kommenden NIS2-Richtlinie zur Netzwerk- und Informationssicherheit betroffen. Sie muss dafür Sorge tragen, dass die Vorgaben eingehalten werden. Was sich einfach liest, zieht in der Umsetzung viele Aufgaben nach sich.
Dass die NIS2-Richtlinie voraussichtlich im Herbst 2024 Rechtswirkung entfaltet, haben wir in einem Artikel mit grundsätzlichen Informationen zu NIS2 beschrieben. An dieser Stelle befassen wir uns mit der Frage, was Geschäftsleitungen beachten müssen, um ihr Cybersicherheitsniveau angemessen und konform zur NIS2-Richtlinie zu gestalten. Hintergrund ist, dass NIS2 die Geschäftsführung in die Pflicht nimmt, die Umsetzung der verschiedenen Maßnahmen der Richtlinie persönlich zu überwachen und freizugeben. Bei Nichteinhaltung der Anforderungen von NIS2 drohen Bußgelder bis zu 20 Mio. Euro oder im schlimmsten Fall sogar die Untersagung der Geschäftstätigkeit. NIS2 sieht weiterhin eine persönliche Haftung der verantwortlichen Geschäftsführung vor.
Im Kontext der NIS2-Richtlinie müssen Geschäftsführer:innen einige Schlüsselaspekte beachten:
Feststellung der Betroffenheit und Registrierung
Die NIS2-Richtlinie erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie aus dem Jahr 2016, indem sie mehr Sektoren und Arten von Unternehmen umfasst. Hinzugekommen sind beispielsweise das produzierende Gewerbe und kleinere Unternehmen ab 50 Mitarbeitenden.
To Do
Die Geschäftsleitung muss daher prüfen, inwieweit ihr Unternehmen in Zukunft unter die Richtlinie fällt, und dieses gegebenenfalls bei der entsprechenden Behörde (in Deutschland beim Bundesamt für Sicherheit in der Informationstechnik, BSI) registrieren.
Meldung von Vorfällen
Die Richtlinie enthält strenge Vorschriften für die Meldung von Sicherheitsvorfällen an die zuständige nationale Behörde. In der Regel müssen diese innerhalb von 24 Stunden nach Kenntnisnahme gemeldet werden.
To Do
Die Geschäftsleitung muss Überwachungs- und Meldesysteme einrichten, um Sicherheitsvorfälle rechtzeitig zu erkennen. Des Weiteren soll sie Prozesse etablieren, die sicherstellen, dass Vorfälle rechtzeitig an die zuständige nationale Behörde gemeldet werden.
Risikomanagement
Unternehmen müssen angemessene und verhältnismäßige technische sowie organisatorische Maßnahmen treffen, um die Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu managen. Hierbei geht es unter anderem um die Wiederherstellung des Betriebs nach einem Notfall, Schulungen der Mitarbeitenden im Bereich der Cybersicherheit oder die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung.
To Do
Die Geschäftsführung ist verantwortlich dafür, dass diese Maßnahmen freigegeben werden und ihre Umsetzung überwacht wird.
Unterrichtungspflichten
Die NIS2-Richtlinie fordert von Unternehmen, dass sie Empfänger ihrer Dienste bei erheblichen Cyberbedrohungen informieren. Beispielsweise müssen Unternehmen Kunden über einen Ausfall ihres Services informieren.
To Do
Geschäftsführer müssen sicherstellen, dass die Empfänger ihrer Dienste bekannt sind und die Meldung an diese in den bestehenden Prozessen verankert sind.
Schulungen
Um die Maßnahmen der Cybersicherheit, die NIS2 fordert, nachhaltig und informiert umsetzen und überwachen zu können, müssen sich Geschäftsleiter:innen regelmäßig dazu weiterbilden. Gleiches gilt für alle Beschäftigten: Jegliche technologischen Schutzmaßnahmen sind hinfällig, wenn Mitarbeitende diese torpedieren.
To Do
Die Geschäftsleitung muss sich um geeignete Schulungsmaßnahmen für sich und die gesamte Belegschaft kümmern. Diese sollten die individuellen Gegebenheiten des Unternehmens berücksichtigen, um nachhaltig die Cybersicherheit im Sinne von NIS2 zu erhöhen.
Nachweise
NIS2 bürdet (vor allem „wesentlichen“) Unternehmen gewisse Nachweispflichten auf, abhängig von der Art der Einrichtung. Zur Überwachung der Einhaltung können stichprobenartige Prüfungen durch die zuständige nationale Behörde erfolgen.
To Do
Die Geschäftsführung muss klären, welchen Nachweispflichten sie unterliegen und welche Auswirkungen diese auf ihr Unternehmen haben.
Fazit
Versäumnisse im Bereich der Cybersicherheit und Nichteinhaltung der NIS2-Richtlinie können zu erheblichen Strafen führen. Die Geschäftsführung sollte sich dessen bewusst sein, dass Verstöße eine persönliche Haftung nach sich ziehen können.
Für die rechtssichere Umsetzung dieser Anforderungen ist es sinnvoll, die NIS2-Richtlinie sowie den endgültigen Text der entsprechenden nationalen Umsetzungsgesetze heranzuziehen. Jedoch sollte die theoretisch verfügbare Zeit nicht vergeudet werden, denn die Entwicklung der Maßnahmen für die jeweilige Organisation ist kein Sprint. Gerade weil im aktuellen Entwurf des NIS2-Umsetzungsgesetzes keine Übergangsfristen vorhanden sind, sollte bereits jetzt mit der Umsetzung der bekannten Vorgaben aus der NIS2 begonnen werden. Dann kommt es darauf an, eine Balance zu finden: zwischen den NIS2-Anforderungen und ihren Auswirkungen auf die Performance des Unternehmens.
Hier finden Sie ein umfassendes Whitepaper zur Umsetzung der NIS2-Richtlinie und hier können Sie mit unserem NIS2-Check ermitteln, ob Ihr Unternehmen von der Richtlinie betroffen ist.
Gerne können Sie uns über unsere Autorenprofile unverbindlich ansprechen – egal, ob Sie erste allgemeine Fragen haben oder sich mit der konkreten Umsetzung beschäftigen. Wir helfen Ihnen gerne weiter!