NIS2-Richtlinie – Teil 3: Aufsichtsaufgaben, Durchsetzungsbefugnisse und Sanktionen
Im dritten Teil unserer Serie zur NIS2-Richtlinie (EU) 2022/2555 werden die erweiterten Aufsichtsaufgaben und Durchsetzungsbefugnisse der zuständigen Behörden sowie die vorgesehenen Sanktionen bei Verstößen erläutert. Diese Richtlinie zielt darauf ab, die Cybersicherheit in der EU zu stärken und sicherzustellen, dass betroffene Einrichtungen die hohen Standards einhalten.
Aufsichtsaufgaben für wesentliche und wichtige Einrichtungen
Die NIS2-Richtlinie verleiht den zuständigen Behörden umfassende Aufsichtsaufgaben, darunter:
- Vor-Ort-Kontrollen und Stichprobenprüfungen: Durchgeführt von geschulten Fachleuten zur Überprüfung der Sicherheitsmaßnahmen.
- Regelmäßige und gezielte Sicherheitsprüfungen: Diese werden von unabhängigen Stellen oder zuständigen Behörden durchgeführt.
- Ad-hoc-Prüfungen: Insbesondere nach erheblichen Sicherheitsvorfällen oder bei Verstößen gegen die Richtlinie, vor allem bei wesentlichen Einrichtungen.
- Sicherheitsscans: Basierend auf objektiven, nichtdiskriminierenden Risikobewertungskriterien, oft in Zusammenarbeit mit der betroffenen Einrichtung.
- Anforderung von Informationen: Die Behörden können Informationen anfordern, um die ergriffenen Cybersicherheitsmaßnahmen zu bewerten, einschließlich dokumentierter Sicherheitskonzepte.
- Zugriff auf Daten und Dokumente: Behörden können Zugang zu Daten und Dokumenten verlangen, die zur Erfüllung ihrer Aufsichtsaufgaben erforderlich sind.
Durchsetzungsbefugnisse und Sanktionen
Behörden haben die Befugnis, verschiedene Maßnahmen zu ergreifen, wenn Verstöße gegen die NIS2-Richtlinie festgestellt werden:
- Erteilung von Warnungen: Bei Verstößen durch die betroffenen Einrichtungen.
- Verbindliche Anweisungen: Diese können Maßnahmen zur Verhinderung oder Behebung von Sicherheitsvorfällen umfassen.
- Anordnungen zur Verhaltensänderung: Einrichtungen werden angewiesen, das rechtswidrige Verhalten einzustellen und zukünftige Verstöße zu vermeiden.
- Informationspflichten: Betroffene Einrichtungen müssen potenziell gefährdete natürliche oder juristische Personen über Cyberbedrohungen informieren.
- Benennung eines Überwachungsbeauftragten: Für wesentliche Einrichtungen kann ein Überwachungsbeauftragter ernannt werden, der die Einhaltung der Sicherheitsvorgaben überwacht.
- Verhängung von Bußgeldern: Bußgelder können je nach Art der Einrichtung und Schwere des Verstoßes verhängt werden.
Bußgelder gemäß Artikel 34 der NIS2-Richtlinie
- Für wesentliche Einrichtungen: Mindestens 10 Mio. € oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
- Für wichtige Einrichtungen: Mindestens 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Weitere Sanktionen für wesentliche Einrichtungen
Sollten Durchsetzungsmaßnahmen unwirksam bleiben, können die Behörden zusätzliche Sanktionen verhängen:
- Aussetzung von Zertifizierungen oder Genehmigungen: Für bestimmte Dienste oder Tätigkeiten.
- Untersagung von Leitungsaufgaben: Verantwortliche Personen auf Geschäftsführungs- oder Vorstandsebene können vorübergehend von Leitungsaufgaben entbunden werden.
Fazit
Die NIS2-Richtlinie erweitert die Befugnisse der Behörden erheblich und stellt sicher, dass Unternehmen und Einrichtungen ihre Cybersicherheitsmaßnahmen auf einem hohen Niveau halten. Die Herausforderungen bei der Umsetzung und Durchsetzung dieser Maßnahmen bleiben jedoch bestehen, insbesondere für öffentliche Verwaltungen.
Zum 2. Teil der Reihe geht es hier:
Haben Sie Fragen zur NIS2-Richtlinie? Kontaktieren Sie uns gerne für weitere Informationen und Unterstützung.
Tel.: 04621 5 30 40 50
E-Mail: mail@konzept17.de
7. Februar 2023