Die Cyberkriminalität ist international wie national anhaltend hoch und gilt als eines der größten Geschäftsrisiken. Das bestätigt die sehr beträchtliche Anzahl (9 von 10 Betrieben) betroffener Unternehmen.
Hamburg, 29.04.2024 – Aus diesem Grund hat die EU mit der Richtlinie NIS 2 die Anforderungen an die IT-Sicherheit ebenso verschärft wie die persönliche Haftung des Managements. Für die Umsetzung bleibt nicht mehr viel Zeit.
Die ursprüngliche NIS-Richtlinie mit dem Hauptziel, Europas Widerstandsfähigkeit gegen Cyberkriminalität zu stärken und die Reaktionsfähigkeit zu verbessern, wurde bereits 2016 verabschiedet und musste bis Mai 2018 von allen EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Die NIS 2-Richtlinie wurde Ende 2022 erstmals veröffentlicht und ist im Januar 2023 in Kraft getreten. Sie ist noch nicht in deutsches Recht umgesetzt, und bei diversen Punkten gibt es Diskussionsbedarf. Bis zum 17.10.2024 muss die Richtlinie allerdings ratifiziert sein, sodass die betroffenen Unternehmen ab 18. Oktober zur Anwendung verpflichtet sein werden.
Wir behalten den weiteren Verlauf im Blick und informieren Sie über mögliche Veränderungen.
Genau in dieser Frage liegt eines der Hauptprobleme, denn durch die Verschärfung der Richtlinie hat sich die Bandbreite und Anzahl der betroffenen Unternehmen immens erhöht. NIS 1 wandte sich zunächst an Betreiber kritischer Infrastrukturen (KRITIS), z. B. Unternehmen der Energieversorgung, Gesundheit und Transport. Schätzungen zufolge müssen durch diese Ausweitung nun rund 30.000 zusätzliche Betriebe in Deutschland den Anforderungen entsprechen, für die ursprünglich kein Handlungsbedarf bestand. Dazu zählen beispielsweise Zulieferer in diversen Branchen. Hinzu kommt eine deutliche Herabsetzung der Mitarbeiterzahl und des Jahresumsatzes der betroffenen Unternehmen.
In vielen Fällen bedarf es einer fachgerechten Prüfung, um festzustellen, inwieweit der eigene Betrieb dazuzählt, denn nicht immer ist diese Einschätzung eindeutig. So können beispielsweise Hersteller von Nischenprodukten in einem der nun relevanten Sektoren inbegriffen sein, wenn der Umsatz die neue Grenze von 10 Millionen Euro übersteigt.
Es besteht jetzt Handlungsbedarf! Prüfen Sie, ob Ihr Unternehmen betroffen ist, um im Bedarfsfall rechtzeitig die geforderten Maßnahmen bis zum Oktober dieses Jahres in Gang zu setzen.
Unternehmen, die von NIS 2 betroffen sind, müssen umfangreiche Schutzvorgaben erfüllen. Dazu zählen in erste Linie folgende Maßnahmen:
Gerade für kleinere und mittlere Betriebsgrößen kann dieses Maßnahmenpaket problematisch sein. Wer inhouse nicht über die entsprechende IT-Expertise verfügt, muss personell gezielt aufstocken beziehungsweise externe Dienstleister in Anspruch nehmen, um die geforderten Maßnahmen in der vorgegebenen Zeit erfüllen zu können.
Wichtig: Künftig muss ein Cyber-Schaden der betroffenen Unternehmen direkt dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden, innerhalb von 24 Stunden mit einem vorläufigen Bericht, innerhalb von 72 Stunden mit einem vollständigen Bericht samt einer Bewertung und spätestens nach einem Monat mit einem ausführlichen Abschlussbericht - so der aktuelle Stand.
Geschäftsführer, Vorstände und Aufsichtsräte haften schon jetzt mit ihrem Privatvermögen im Falle von vorsätzlichen oder fahrlässigen Pflichtverletzungen. Diese Haftung wird im aktuellen Gesetzesentwurf nun deutlich präzisiert: Die Geschäftsleiter sind verpflichtet, die geforderten Maßnahmen zu billigen und zu überwachen. Außerdem müssen sie regelmäßig an Schulungen persönlich teilnehmen und eine Teilnahme auch weiteren Mitarbeitern anbieten. Die Haftung nach NIS 2 bezieht sich auf alle "Leitungsorgane", wobei noch unklar ist, wer hierunter zu subsumieren ist.
Neu ist: Ein Verzicht der Einrichtung auf Ersatzansprüche aufgrund einer Verletzung der Pflichten oder ein Vergleich zwischen Unternehmen und Leistungsorgan über diese Ansprüch ist unwirksam.
Bei Verstößen drohen hohe Geldbußen bis zu zwei Prozent des weltweiten Umsatzes bzw. bis zu einer Höhe von sieben Millionen Euro für "wesentliche Einrichtungen" und bis 1,4 Prozent des weltweiten Umsatzes bzw. bis zu einer Höhe von zehn Millionen Euro für "wichtige Einrichtungen".
Auch wenn es einen hohen Aufwand bedeutet, sollte die Umsetzung der Richtlinie im Interesse aller beteiligten Seiten liegen. Nur eine stark ausgeprägte und solide Cyberabwehr sowie effiziente Handlungsvorgaben können langfristig und dauerhaft vor großen wirtschaftlichen Schäden schützen.
Natürlich geht es bei der Absicherung durch eine Cyberversicherung um die Deckung des verursachten Schadens, der oft erst später in seiner vollen Größe sichtbar wird. Dennoch bietet die Cyberversicherung – gerade in Hinsicht auf die verschärften NIS 2-Anforderungen – noch deutlich mehr Unterstützung und Sicherheit, denn die IT-Forensik ist darin inbegriffen.
So stehen Ihnen bei einem entsprechenden Abschluss ab dem Moment des Schadeneintritts umfassende Assistance-Dienstleistungen für die Handlungsfähigkeit im Notfall zur Verfügung. Über eine 24/7-Hotline erhalten Sie Zugriff auf ein Netzwerk von IT-Experten, die Ihnen auch bei der Umsetzung genau dieser nun so elementaren Anforderungen zur Seite stehen.
Bereits der Fragebogen, der im Rahmen des Abschlusses einer Cyberversicherung auszufüllen ist, kann unter Umständen verdeutlichen, wie viele Punkte Sie bereits erfüllen oder wo Sie im Rahmen der künftigen Anforderungen möglicherweise noch aktiv werden sollten.
Als "wesentliche Unternehmen" gelten:
Als "wichtige Unternehmen" gelten:
Verpflichtend sind folgende Maßnahmen im Bereich des Risikomanagements:
Weitere Pflichten für betroffene Unternehmen und Einrichtungen:
Pflichten für die verantwortlichen Geschäftsleiter:
Sektoren mit hoher Kritikaliät:
Sonstige kritische Sektoren:
Prüfen Sie zunächst, ob Sie zu den Unternehmen gehören, die die NIS 2-Richtlinie umsetzen müssen. Gerne stehen wir Ihnen dazu in folgenden Bereichen zur Seite:
Sie wollen eine Cyber-Versicherung abschließen oder wissen, inwieweit Ihre bestehende Versicherung im Hinblick auf die NIS 2-Anforderungen unterstützt?
Für die Managerhaftung schließen Unternehmen regelmäßig eine D&O Versicherung ab. Diese kann durch eine persönliche D&O Versicherung ergänzt werden, die der Manager selbst vereinbart.
Gern beraten wir Sie individuell und höchst persönlich.
Die Gossler, Gobert & Wolters Gruppe (GGW Gruppe) ist einer der großen unabhängigen und inhabergeführten Industrieversicherungsmakler in Deutschland. Als Experte für integriertes Risiko- und Versicherungsmanagement betreuen die rund 290 Mitarbeiter der GGW Gruppe mittelständische Unternehmen aus Industrie, Handel, Gewerbe sowie den rechts- und wirtschaftsberatenden Berufen. Deutschlandweit ist das Beratungshaus an neun Standorten vertreten und berät in Zusammenarbeit mit internationalen Netzwerken Kunden in über 60 Ländern.
Sie möchten eine Publikation oder Pressematerial zugeschickt bekommen? Dann lassen Sie uns gern eine Nachricht zukommen.
SMR Leistungen
Über SMR
SMR Service