Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.
So unterstützen wir Sie
-
Die Digitalisierung transformiert nicht nur die Welt der Arbeit, Freizeit und Mobilität, sondern birgt auch immense rechtliche Herausforderungen. Mit unserer Practice Group Digital Law beraten wir unsere Mandanten dabei, die digitale Transformation rechtssicher zu gestalten.
Mehr lesen
Verpflichtungen – Risikomanagementmaßnahmen und Berichtspflichten
„Wesentliche“ und „wichtige“ Einrichtungen haben umfangreiche Risikomanagementmaßnahmen zu ergreifen (Art. 21 NIS 2-RL). Hierzu zählen u. a. ein Backup-Management, Sicherheitskonzepte sowie Schulungen im Bereich der Cybersicherheit oder die Pflicht, zertifizierte IKT-Produkte, -Dienste und Prozesse zu verwenden (Art. 24 NIS-2-RL).
Im Fall eines erheblichen Sicherheitsvorfalls gelten unverzügliche Berichtspflichten (Art. 23 NIS-2-RL). Eine erste Frühwarnung hat dabei spätestens nach 24 Stunden zu erfolgen, eine ausführlichere Bewertung des Sicherheitsvorfalls innerhalb von 72 Stunden. Nach einem Monat ist dem Computer-Notfallteam (CSIRT) ein Abschlussbericht zu übermitteln. Die EU-Kommission kann Durchführungsrechtsakte erlassen, in denen die Einzelheiten zur Art der Angaben, zum Format und zum Verfahren der Meldung näher bestimmt werden (Art. 23, Abs. 10 NIS-2-RL).
Risikomanagement im Bereich der Lieferketten, Art. 22 NIS-2-RL
Beim Risikomanagement ergeben sich vor allem im Bereich der Lieferketten Neuheiten. Da diese bei der Datenweitergabe als Schnittstelle von mehreren Unternehmen besonders angreifbar und Unternehmen dabei besonders vulnerabel sind, hält die Kommission einen weiter gehenden Schutz von Lieferketten für notwendig (Erwägungsgrund 54 ff. NIS-2-RL). Bei der Risikobewertung von Lieferketten sollen daher kritische IKT-Dienste, -Systeme oder Produkte sowie relevante Bedrohungen und Schwachstellen ermittelt werden (Art. 22 Abs. 1 NIS-2-RL). Dabei sollen u. a. folgende Kriterien beachtet werden (Erwägungsgrund 91 NIS-2-RL):
- der Umfang, in dem kritische IKT-Dienste, -Systeme oder -Produkte von wesentlichen und wichtigen Einrichtungen genutzt werden und diese darauf angewiesen sind
- die Bedeutung von kritischen IKT-Diensten, -Systemen oder -Produkten für die Ausführung kritischer oder sensibler Funktionen
- die Verfügbarkeit alternativer Dienste, Systeme und Produkte
- die Resilienz der gesamten Lieferkette gegen destabilisierende Ereignisse
Persönliche Haftung der Leitungsorgane, Art. 20 NIS-2-RL
Zu beachten ist die neu eingeführte Haftung und persönliche Verantwortung von Leitungsorganen (Art. 20 Abs. 1 NIS-2-RL). Nationale Rechtsvorschriften in Bezug auf die für die öffentlichen Einrichtungen geltenden Haftungsregelungen sowie die Haftung von öffentlichen Bediensteten und gewählten oder ernannten Amtsträgern bleiben unberührt (Art. 20 Abs. 1 NIS-2-RL). Geschäftsführer wesentlicher und wichtiger Einrichtungen sind zudem verpflichtet, an Schulungen teilzunehmen und solche allen Mitarbeitenden regelmäßig anzubieten (Art. 20 Abs. 2 NIS-2-RL).
Zuständigkeit, Durchsetzung und Bußgelder
Es gibt umfassende Aufsichts- und Durchsetzungsmaßnahmen, so z. B. Vor-Ort-Kontrollen, gezielte Sicherheitsprüfungen oder Auskunftspflichten bei „wichtigen“ Einrichtungen, Ad-hoc-Prüfungen, Stichprobenkontrollen, die vorübergehende Aussetzung der Zertifizierung oder der Genehmigung oder die Untersagung der Wahrnehmung von Leitungsaufgaben natürlicher Personen auf Geschäftsführungs- bzw. Vorstandsebene bei wesentlichen Einrichtungen (Art. 32, 33 NIS-2-RL).
Für die Aufsicht bezüglich der Einhaltung sind ein oder mehrere Cybersicherheitsbehörden zu benennen. Zu errichten bzw. zu bestimmen sind ferner Behörden für das Cyberkrisenmanagement und CSIRTs. Deren Aufgabe ist die Überwachung und Analyse von Cyberbedrohungen, Schwachstellen und Sicherheitsvorfällen auf nationaler Ebene, die Unterstützung „wesentlicher“ und „wichtiger“ Einrichtungen hinsichtlich der Überwachung ihrer Netze und Informationssysteme in Echtzeit und die Erhebung und Analyse forensischer Daten und Frühwarnungen über Cyberbedrohungen. Das national zuständige CSIRT koordiniert die (anonyme) Offenlegung von Schwachstellen in einer Schwachstellendatenbank (Art. 12 NIS-2-RL).
Als Sanktionen sind dabei Geldbußen in empfindlichen Höhen vorgesehen. Bei wesentlichen Einrichtungen liegt der Höchstbetrag der Geldbuße bei 10 Mio. EUR oder 2 % des weltweiten Vorjahresumsatzes, bei wichtigen Einrichtungen etwas niedriger bei 7 Mio. EUR oder 1,4 % des weltweiten Vorjahresumsatzes (Art. 34 NIS-2-RL). (Hinweis: Wir gehen in diesem Beitrag davon aus, dass es sich hierbei um einen Höchstbetrag handelt. Es bleibt aber abzuwarten, wie die entsprechende Regelung ins nationale Recht umgesetzt wird.) Diese Bußgelder werden ausschließlich zusätzlich, nie anstelle von anderen angeordneten Maßnahmen verhängt.
Verhältnis zum Datenschutz
Die DSGVO bleibt von der neuen NIS-2-Richtlinie unberührt (Erwägungsgrund 14 NIS-2-RL). Rechtsgrundlage zur Verarbeitung personenbezogener Daten zur Gewährleistung der Sicherheit von Netz- und Informationssystemen sind Art. 6 Abs. 1 lit. c und Art. 6 Abs. 3 DSGVO (rechtliche Verpflichtung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) (Erwägungsgrund 121 NIS-2-RL). Die nach der NIS-2-Richtlinie zuständigen Behörden sollen mit den Datenschutzbehörden zusammenarbeiten (Erwägungsgrund 108 und Art. 31 Abs. 3 NIS-2-RL) und haben Datenschutzverstöße gem. Art. 33 DSGVO zu melden (Art. 35 NIS-2-RL). Zu beachten ist hierbei, dass der zum Teil in der Datenschutzrechtspraxis gelebte Nemo-tenetur-Grundsatz im Rahmen einer Meldung eines Datenschutzverstoßes möglicherweise keine Anwendung findet.