ISGroup Cybersicherheitsberatung

Was sind die Konsequenzen für Unternehmen, die die NIS2-Richtlinie nicht einhalten?

Die NIS2-Richtlinie legt eine Reihe von Konsequenzen für „wesentliche“ und „wichtige“ Einrichtungen fest, die ihre Bestimmungen nicht einhalten. Diese Konsequenzen sollen eine wirksame Durchsetzung gewährleisten und als Abschreckung gegen die Nichteinhaltung der Vorschriften dienen. Die Schwere der Konsequenzen kann je nach verschiedenen Faktoren variieren, darunter die Art und Schwere des Verstoßes, die Größe der Einrichtung und die spezifischen verletzten Verpflichtungen. Um zu verstehen, wie man einen NIS2-Compliance-Pfad strukturiert, bevor die Behörden eingreifen, ist es hilfreich, den Sanktionsrahmen im Detail zu kennen.

[Callforaction-NIS2]

Nachfolgend ein Überblick:

Allgemeine Grundsätze der Anwendung

  • Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung: Der allgemeine Grundsatz für alle in der NIS2-Richtlinie vorgesehenen Durchsetzungsmaßnahmen besagt, dass sie unter Berücksichtigung der spezifischen Umstände des Einzelfalls „wirksam, verhältnismäßig und abschreckend“ sein müssen. Dieser Grundsatz unterstreicht einen risikobasierten Ansatz, bei dem die Schwere der Konsequenzen im Verhältnis zu den potenziellen Auswirkungen des Verstoßes steht.
  • Differenzierte Aufsichtsregime: Die Richtlinie legt unterschiedliche Aufsichtsregime für wesentliche und wichtige Einrichtungen fest und erkennt damit deren unterschiedliche Rollen und Risikoprofile an. Wesentliche Einrichtungen unterliegen aufgrund ihrer systemischen Bedeutung im Allgemeinen einer strengeren Aufsicht und potenziell schwereren Sanktionen als wichtige Einrichtungen.

Spezifische Durchsetzungsmaßnahmen

Die NIS2-Richtlinie ermächtigt die zuständigen Behörden, eine Reihe von Maßnahmen gegen nicht konforme Einrichtungen zu verhängen. Diese Maßnahmen können je nach Kontext kumulativ oder unabhängig voneinander angewendet werden.

1. Administrative Sanktionen:

  • Verbindliche Anweisungen: Die Behörden können verbindliche Anweisungen erlassen, um festgestellte Mängel zu beheben oder Verstöße gegen die Richtlinie zu korrigieren. Diese Anweisungen geben der nicht konformen Einrichtung spezifische Leitlinien und skizzieren die notwendigen Schritte zur Erreichung der Compliance.
  • Empfehlungen für Sicherheitsaudits: Die Behörden können Einrichtungen verpflichten, die nach einem Sicherheitsaudit gegebenen Empfehlungen innerhalb einer angemessenen Frist umzusetzen. Dies stellt sicher, dass identifizierte Schwachstellen und Sicherheitslücken angemessen behoben werden.
  • Angleichung an NIS-Anforderungen: Die zuständigen Behörden können Einrichtungen zwingen, ihre Sicherheitsmaßnahmen innerhalb einer bestimmten Art und Weise und eines festgelegten Zeitrahmens an die Anforderungen der NIS2-Richtlinie anzupassen. Diese Bestimmung unterstreicht den obligatorischen Charakter der in der Richtlinie vorgesehenen Sicherheitsstandards.
  • Öffentliche Bekanntgabe von Verstößen: In bestimmten Fällen können die Behörden von Einrichtungen verlangen, bestimmte Aspekte ihrer Verstöße auf eine spezifische Weise öffentlich bekannt zu geben. Die öffentliche Bekanntgabe zielt darauf ab, die Transparenz und Verantwortlichkeit bei Cybersicherheitspraktiken zu erhöhen.

2. Geldbußen:

  • Finanzielle Sanktionen: Die NIS2-Richtlinie führt ein System administrativer Sanktionen für Verstöße gegen Risikomanagement- und Meldepflichten ein. Die Richtlinie legt einen Mindestschwellenwert für solche Sanktionen fest, der zwischen wesentlichen und wichtigen Einrichtungen unterscheidet.
    • Wesentliche Einrichtungen: Sie können mit einer maximalen Geldbuße von mindestens 10.000.000 € oder 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres belegt werden, je nachdem, welcher Wert höher ist.
    • Wichtige Einrichtungen: Sie können mit einer maximalen Geldbuße von mindestens 7.000.000 € oder 1,4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres belegt werden, je nachdem, welcher Wert höher ist.
  • Periodische Zwangsgelder: Die Mitgliedstaaten können ein System periodischer Zwangsgelder einführen, um wesentliche oder wichtige Einrichtungen dazu zu zwingen, laufende Verstöße nach einer vorherigen Entscheidung der zuständigen Behörde zu beenden. Diese Bestimmung schafft Anreize für ein rechtzeitiges Handeln zur Behebung von Nichtkonformitäten.

3. Zusätzliche Durchsetzungsmaßnahmen für wesentliche Einrichtungen:

In Anerkennung der kritischen Rolle wesentlicher Einrichtungen stattet die NIS2-Richtlinie die zuständigen Behörden mit zusätzlichen Durchsetzungsinstrumenten aus, die speziell auf diese Einrichtungen anwendbar sind, wenn andere Maßnahmen nicht ausreichen.

  • Vorübergehende Aussetzung von Zertifikaten/Genehmigungen: Die Behörden können ein Zertifikat oder eine Genehmigung in Bezug auf die Dienste oder Tätigkeiten der wesentlichen Einrichtung vorübergehend aussetzen oder deren Aussetzung verlangen. Diese Maßnahme wirkt sich direkt auf die Fähigkeit der Einrichtung aus, zu operieren und Dienstleistungen zu erbringen.
  • Vorübergehendes Verbot für das Senior Management: Die Behörden können ein vorübergehendes Verbot verlangen, das Personen in leitenden Positionen daran hindert, ihre Funktionen innerhalb der wesentlichen Einrichtung auszuüben. Diese Maßnahme zielt darauf ab, die individuelle Verantwortung für die Nichteinhaltung von Vorschriften auf den höchsten organisatorischen Ebenen sicherzustellen.

4. Faktoren, die bei der Anwendung von Sanktionen berücksichtigt werden:

Bei der Festlegung angemessener Durchsetzungsmaßnahmen, insbesondere administrativer Sanktionen, müssen die zuständigen Behörden die spezifischen Umstände jedes Einzelfalls berücksichtigen. Zu den berücksichtigten Faktoren gehören:

  • Schwere, Dauer und Vorsätzlichkeit des Verstoßes: Schwerwiegendere oder vorsätzliche Verstöße führen zu härteren Konsequenzen.
  • Verursachte Schäden/erlittene Verluste: Die finanziellen, wirtschaftlichen oder operativen Auswirkungen, die aus der Nichteinhaltung resultieren, werden berücksichtigt.
  • Anzahl der betroffenen Nutzer: Verstöße, die eine größere Anzahl von Nutzern betreffen, können zu höheren Sanktionen führen.
  • Frühere Verstöße: Eine Vorgeschichte der Nichteinhaltung kann zu strengeren Sanktionsmaßnahmen führen.
  • Grad der Kooperation: Einrichtungen, die einen kooperativen und proaktiven Ansatz bei der Lösung von Verstößen zeigen, können von einer milderen Behandlung profitieren.

Rechtliche Zuständigkeitsaspekte der Durchsetzung

Die Bestimmung der für die Durchsetzung der NIS2-Richtlinie zuständigen Gerichtsbarkeit hängt von der spezifischen Art der betroffenen Einrichtung ab. Um zu vertiefen, wie Italien diese Verpflichtungen umgesetzt hat und welche Subjekte in den Anwendungsbereich fallen, ist es nützlich, die Hinweise der ACN zur Liste der NIS2-Subjekte und den Compliance-Fristen zu konsultieren.

  • Niederlassung als allgemeine Regel: Für die meisten wesentlichen und wichtigen Einrichtungen liegt die Zuständigkeit im Allgemeinen bei dem Mitgliedstaat, in dem sie niedergelassen sind. Wenn eine Einrichtung in mehreren Mitgliedstaaten tätig ist, ist jeder dieser Staaten zuständig und muss bei den Aufsichtsaktivitäten zusammenarbeiten.
  • Ausnahmen aufgrund der Dienstleistungserbringung oder des Hauptsitzes: Es gibt jedoch Ausnahmen für bestimmte Einrichtungen, deren Tätigkeiten von Natur aus grenzüberschreitend sind:
    • Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste: Sie fallen unter die Zuständigkeit des Mitgliedstaats, in dem sie ihre Dienste erbringen.
    • Anbieter von Domain-Name-System-Diensten, TLD-Registern, Cloud-Computing-Diensten, Rechenzentren, Content-Delivery-Netzwerken (CDN), Managed-Service-Anbietern, Managed-Security-Service-Anbietern, Online-Marktplätzen, Suchmaschinen und Social-Networking-Plattformen: Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem sich ihre Hauptniederlassung innerhalb der EU befindet. Diese Bestimmung zielt darauf ab, eine regulatorische Fragmentierung für Einrichtungen zu verhindern, die grenzüberschreitend tätig sind.

Sanktionen bei Verstößen gegen nationale Umsetzungsmaßnahmen

Die NIS2-Richtlinie verlangt von den Mitgliedstaaten, ihre eigenen nationalen Regeln bezüglich Sanktionen für Verstöße gegen die zur Umsetzung der Richtlinie erlassenen nationalen Maßnahmen festzulegen. Diese Sanktionen müssen denselben Grundsätzen der Wirksamkeit, Verhältnismäßigkeit und abschreckenden Wirkung folgen, die die Durchsetzungsmechanismen der Richtlinie regeln.

Zusammenarbeit mit anderen regulatorischen Rahmenwerken

Die NIS2-Richtlinie betont die Zusammenarbeit und den Informationsaustausch zwischen den für ihre Durchsetzung zuständigen Behörden und anderen relevanten Regulierungsstellen, sowohl auf nationaler als auch auf EU-Ebene. Für ein breiteres Verständnis des regulatorischen Kontextes ist es sinnvoll, beim Hauptziel der NIS2-Richtlinie zu beginnen und zu betrachten, wie sie sich in den europäischen Cybersicherheitsrahmen einfügt.

Häufig gestellte Fragen zu den Konsequenzen der NIS2-Nichteinhaltung

  • Was ist der konkrete Unterschied zwischen den Sanktionen für wesentliche und wichtige Einrichtungen?
  • Wesentliche Einrichtungen können mit bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes sanktioniert werden, während das Maximum für wichtige Einrichtungen auf 7 Millionen Euro oder 1,4 % des Umsatzes sinkt. Über den Betrag hinaus sind wesentliche Einrichtungen zusätzlichen Maßnahmen wie der vorübergehenden Aussetzung von Zertifikaten oder Genehmigungen sowie einem vorübergehenden Verbot für das Senior Management ausgesetzt – Instrumente, die für wichtige Einrichtungen nicht vorgesehen sind.
  • Was passiert, wenn eine Einrichtung einen Verstoß nach der ersten Sanktion nicht behebt?
  • Die Richtlinie sieht die Möglichkeit vor, periodische Zwangsgelder zu verhängen, um die Einrichtung zur Beendigung laufender Verstöße zu zwingen. In der Praxis kann eine wiederholte Nichteinhaltung zu kumulativen, steigenden Sanktionen sowie zu invasiveren Maßnahmen wie der Aussetzung von Betriebsgenehmigungen führen.
  • Wer ist in Italien für die Durchsetzung der NIS2-Sanktionen verantwortlich?
  • In Italien ist die Agentur für nationale Cybersicherheit (Agenzia per la Cybersicurezza Nazionale – ACN) die zuständige Behörde für die Aufsicht und Durchsetzung der NIS2-Richtlinie. Die ACN verwaltet auch die Liste der NIS2-Subjekte und koordiniert die Compliance-Prüfungen gegenüber den auf nationalem Gebiet tätigen wesentlichen und wichtigen Einrichtungen.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *