ISGroup Cybersicherheitsberatung

NIS-2-Richtlinie: Welche Sanktionen drohen bei Nichteinhaltung?

Die NIS-2-Richtlinie verpflichtet die EU-Mitgliedstaaten dazu, ein Sanktionssystem für Unternehmen einzuführen und umzusetzen, die die vorgeschriebenen Cybersicherheitsanforderungen nicht erfüllen. Diese Sanktionen sollen “wirksam, verhältnismäßig und abschreckend” sein, um sicherzustellen, dass Unternehmen ihre Verpflichtungen im Bereich der Cybersicherheit ernst nehmen.

NIS-2-Richtlinie: Verwaltungssanktionen

Die NIS2 legt einen Mindestsatz an Verwaltungssanktionen fest, die von den zuständigen nationalen Behörden gegen nicht konforme Unternehmen verhängt werden können:

  • Verbindliche Anweisungen: Die zuständigen Behörden können verbindliche Anweisungen erteilen, die von den Unternehmen verlangen, festgestellte Sicherheitsmängel zu beheben oder spezifische Maßnahmen zur Verbesserung ihrer Cybersicherheitslage zu ergreifen. Solche Anweisungen können Fristen für die Umsetzung und die Berichterstattung über Fortschritte enthalten.
  • Anordnungen zur Umsetzung von Audit-Empfehlungen: Wenn ein Sicherheitsaudit Schwachstellen oder Nichteinhaltungen aufdeckt, können die zuständigen Behörden das Unternehmen anweisen, die im Auditbericht aufgeführten Empfehlungen umzusetzen.
  • Anordnungen zur Angleichung der Sicherheitsmaßnahmen an die NIS2-Anforderungen: Die zuständigen Behörden können Unternehmen anweisen, ihre Sicherheitsmaßnahmen an die spezifischen Anforderungen der NIS-2-Richtlinie anzupassen. Dies kann die Implementierung zusätzlicher Sicherheitskontrollen, die Aktualisierung von Richtlinien und Verfahren oder die Stärkung der Kapazitäten zur Reaktion auf Vorfälle umfassen.
  • Geldbußen: Die NIS2 führt ein System von Verwaltungssanktionen ein, das auf Unternehmen angewendet werden kann, die gegen die Bestimmungen der Richtlinie verstoßen. Die Höhe der Sanktionen variiert je nach Einstufung des Unternehmens als wesentlich oder wichtig:
    • Wesentliche Einrichtungen: Für wesentliche Einrichtungen müssen die Mitgliedstaaten Höchststrafen von mindestens 10.000.000 € oder 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres festlegen, je nachdem, welcher Betrag höher ist.
    • Wichtige Einrichtungen: Für wichtige Einrichtungen müssen die Mitgliedstaaten Höchststrafen von mindestens 7.000.000 € oder 1,4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres festlegen, je nachdem, welcher Betrag höher ist.

[Callforaction-NIS2]

Periodische Zwangsgelder

Zusätzlich zu den oben genannten Sanktionen können die Mitgliedstaaten periodische Zwangsgelder verhängen, um wesentliche oder wichtige Einrichtungen dazu zu zwingen, einen Verstoß gegen die NIS-2-Richtlinie zu beenden. Diese Zahlungen summieren sich so lange, bis das Unternehmen die Einhaltung der Entscheidung der zuständigen Behörde nachweist.

Bei der Festlegung von Sanktionen berücksichtigte Faktoren

Bei der Festlegung der angemessenen Sanktion für eine Nichteinhaltung müssen die zuständigen Behörden die spezifischen Umstände des Einzelfalls berücksichtigen, darunter:

  • Schwere des Verstoßes: Die Schwere des Verstoßes, wie z. B. wiederholte Verstöße, unterlassene Meldung oder Nichtbehebung signifikanter Vorfälle oder die Behinderung von Audits oder Überwachungsaktivitäten.
  • Dauer des Verstoßes: Der Zeitraum, in dem das Unternehmen gegen die NIS2-Anforderungen verstoßen hat.
  • Frühere Verstöße: Die Historie des Unternehmens in Bezug auf die Nichteinhaltung von Cybersicherheitsvorschriften.
  • Verursachte Schäden oder Verluste: Das Ausmaß der materiellen oder immateriellen Schäden, die durch die Nichteinhaltung verursacht wurden, einschließlich finanzieller Verluste, Dienstunterbrechungen und der Anzahl der betroffenen Nutzer.
  • Vorsätzlicher oder fahrlässiger Charakter des Verstoßes: Ob die Nichteinhaltung vorsätzlich erfolgte oder auf Fahrlässigkeit des Unternehmens zurückzuführen ist.
  • Maßnahmen zur Schadensprävention oder -minderung: Alle Maßnahmen, die das Unternehmen ergriffen hat, um die Nichteinhaltung anzugehen und deren Auswirkungen zu minimieren.
  • Grad der Zusammenarbeit mit den zuständigen Behörden: Die Bereitschaft des Unternehmens, während der Untersuchungen und Durchsetzungsmaßnahmen mit den zuständigen Behörden zusammenzuarbeiten.

NIS-2-Richtlinie: Weitere Durchsetzungsmaßnahmen

Über die spezifischen Verwaltungssanktionen hinaus verleiht die NIS-2-Richtlinie den zuständigen Behörden die Befugnis, weitere Durchsetzungsmaßnahmen zu ergreifen, falls die anfänglichen Sanktionen ineffektiv sind:

  • Festlegung einer Frist für die Sanierung: Wenn ein Unternehmen verbindliche Anweisungen oder andere Durchsetzungsmaßnahmen nicht befolgt, können die zuständigen Behörden eine spezifische Frist für die Behebung der festgestellten Mängel festlegen.
  • Aussetzung oder Verbot von Aktivitäten: Bei schwerwiegender oder anhaltender Nichteinhaltung haben die zuständigen Behörden die Befugnis, das Unternehmen vorübergehend auszusetzen oder ihm die Ausübung von Aktivitäten zu untersagen, die ein Cybersicherheitsrisiko bergen. Solche Maßnahmen unterliegen angemessenen verfahrensrechtlichen Garantien und werden nur so lange angewendet, bis das Unternehmen die notwendigen Schritte zur Erreichung der Konformität unternimmt.

Verantwortung der Geschäftsführung

Die NIS2 führt Bestimmungen ein, um Führungskräfte in wesentlichen und wichtigen Einrichtungen bei Verstößen gegen die Cybersicherheit zur Verantwortung zu ziehen. Diese persönliche Haftung zielt darauf ab, eine stärkere Aufmerksamkeit für Cybersicherheit auf den höchsten Ebenen der Unternehmensführung zu fördern. Obwohl die Richtlinie keine spezifischen Sanktionen für Einzelpersonen festlegt, sind die Mitgliedstaaten verpflichtet, Maßnahmen umzusetzen, die eine effektive Verantwortlichkeit gewährleisten.

Nationales Recht und gerichtliche Sanktionen

Zusätzlich zu den in der NIS-2-Richtlinie vorgesehenen Verwaltungssanktionen können die Mitgliedstaaten bei Verstößen gegen Cybersicherheitsvorschriften weitere Sanktionen nach ihrem eigenen nationalen Recht anwenden. Dies kann strafrechtliche Sanktionen für schwere Straftaten oder zivilrechtliche Haftungen für Schäden durch Sicherheitsverletzungen umfassen.

Es ist wichtig zu beachten, dass die spezifischen Sanktionen und Durchsetzungsmechanismen von Mitgliedstaat zu Mitgliedstaat variieren, da die NIS-2-Richtlinie Mindeststandards für die Harmonisierung festlegt, die die Mitgliedstaaten in ihre nationale Gesetzgebung umsetzen müssen.

Wie man sich vorbereitet, um NIS2-Sanktionen zu vermeiden

Für Organisationen, die in den Anwendungsbereich der Richtlinie fallen, ist der effektivste Weg zur Vermeidung von Sanktionen der frühzeitige Start eines strukturierten Anpassungsprozesses. Dies bedeutet, die bereits vorhandenen Sicherheitsmaßnahmen zu erfassen, Lücken gegenüber den NIS2-Anforderungen zu identifizieren und einen Sanierungsplan mit realistischen Fristen zu definieren. Eine spezialisierte Unterstützung für die NIS2-Konformität kann den Unterschied zwischen einem methodisch geführten Prozess und einem anhaltenden Risiko für Sanktionen ausmachen. Für diejenigen, die auch ihre Registrierung im ACN-Verzeichnis überprüfen müssen, ist es nützlich, die vom ACN vorgesehenen Fristen und Konformitätsmodalitäten zu konsultieren.

Insgesamt schafft die NIS-2-Richtlinie einen robusteren und kohärenteren Durchsetzungsrahmen für Cybersicherheitsvorschriften in der gesamten EU. Der Schwerpunkt der Richtlinie auf abschreckenden Sanktionen, klaren Durchsetzungsbefugnissen für die zuständigen Behörden und der Verantwortung der Geschäftsführung zielt darauf ab, einen starken Anreiz für Unternehmen zu schaffen, der Cybersicherheit Priorität einzuräumen und die Anforderungen der Richtlinie zu erfüllen.

Häufig gestellte Fragen zu NIS2-Sanktionen

  • Was ist der Unterschied zwischen den Sanktionen für wesentliche und wichtige Einrichtungen?
  • Wesentliche Einrichtungen unterliegen Höchststrafen von mindestens 10.000.000 € oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen sinkt das Maximum auf 7.000.000 € oder 1,4 % des Umsatzes. Die Unterscheidung spiegelt die Kritikalität des Sektors und die potenziellen Auswirkungen eines Vorfalls auf die Gesellschaft wider.
  • Können Führungskräfte bei einem NIS2-Verstoß persönlich haftbar gemacht werden?
  • Ja. Die NIS-2-Richtlinie enthält ausdrücklich Bestimmungen zur Verantwortung von Führungskräften in wesentlichen und wichtigen Einrichtungen. Die Mitgliedstaaten sind verpflichtet, Maßnahmen umzusetzen, die diese Verantwortlichkeit wirksam machen, auch wenn die konkreten Formen je nach nationaler Umsetzung von Land zu Land variieren.
  • Was passiert, wenn ein Unternehmen nach Erhalt verbindlicher Anweisungen nicht konform handelt?
  • Wenn das Unternehmen die verbindlichen Anweisungen nicht befolgt, können die zuständigen Behörden periodische Zwangsgelder verhängen, strengere Sanierungsfristen festlegen und in schwerwiegenden Fällen die Ausübung von Aktivitäten, die ein Cybersicherheitsrisiko bergen, vorübergehend aussetzen oder untersagen.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *