Die Zahl der Cyberangriffe auf Unternehmen in Deutschland steigt seit Jahren unaufhörlich an. Nach aktuellen Umfragen unter Unternehmensführern steht die Sorge davor, Opfer von Cyberattacken auf das eigene IT-System zu werden oder von Hacks auf die eingesetzten IT-Dienstleister betroffen zu sein, an oberster Stelle der befürchteten Risiken für den Bestand ihrer Unternehmen. In den Fokus der Cyberkriminellen geraten dabei zunehmend auch weniger prominente und mittelständische Unternehmen. Den betroffenen Unternehmen können aus solchen Attacken empfindliche Umsatzverluste und Schäden im Umgang mit ihren Kunden entstehen. Neben dem individuellen Interesse der Unternehmer bedrohen die Cyberangriffe aber auch das öffentliche Interesse an einem funktionierenden Gemeinwesen, wenn wichtige Lieferketten oder die Produktion von Gütern gestört werden.
Der steigenden Gefahr tritt deshalb nun auch der Gesetzgeber entgegen. Im Januar 2023 ist eine neue Richtlinie der Europäischen Union (EU) über Netz- und Informationssysteme in Kraft getreten, die sog. NIS2-Richtlinie. Die Vorgaben aus der neuen Richtlinie hätten bereits bis zum 17. Oktober 2024 in deutsches Recht umgesetzt werden müssen. Das deutsche NIS2-Umsetzungsgesetz war schon weit im Entwurfsstadium vorangeschritten, wurde aber von dem Bruch der Ampelkoalition überholt. Dennoch müssen Unternehmen und die Geschäftsleitung sich schon jetzt auf NIS2 vorbereiten. Es ist nicht davon auszugehen, dass die Verschiebung der gesetzlichen Umsetzung über das Ende des Jahres 2025 hinausgeht.
Zugleich werden sich gegenüber der bisherigen Rechtslage die Pflichten und der Kreis der betroffenen Unternehmen erheblich ausweiten und verschärfen. Im Falle eines Verstoßes gegen die neuen Compliance-Vorgaben drohen empfindliche Bußgelder in Millionenhöhe. Besonders wachsam müssen Geschäftsführer und Vorstände der betroffenen Unternehmen sein. Sie werden persönlich in die Pflicht und Haftung genommen. Auf der anderen Seite kann die Umsetzung der NIS2 Vorgaben auch positive Effekte wie ein gesteigertes Kunden- oder Investorenvertrauen mit sich bringen. Insofern sollten Sie NIS2 auch als Chance für Ihr Unternehmen ansehen. Flankiert wird NIS2 durch die am gleichen Datum in Kraft getretene EU Critical Entities Resilience Directive oder „CER-Richtlinie“, die ebenfalls bis zum 17. Oktober 2024 in nationales Recht zu überführen war. Diese Richtlinie stellt für „Betreiber kritischer Anlagen“ Anforderungen an die physische Resilienz auf (z.B. Schutzzäune, etc.). Alle Betreiber kritischer Anlagen unter der CER-Richtlinie werden automatisch auch unter NIS2 fallen. Die Umsetzung der CER-Richtlinie in Deutschland durch das sog. KRITIS- Dachgesetz teilt jedoch das Schicksal des NIS2-Umsetzungsgesetzes und verspätet sich bis auf Weiteres.
In diesem Whitepaper erfahren Sie, ob Ihr Unternehmen nach dem aktuellen Stand von NIS2 betroffen ist und was dies für Sie und Ihr Unternehmen bedeutet.
'/%3e%3c/svg%3e){kind=small}
'/%3e%3c/svg%3e){kind=small}
