Die neue NIS2-Richtlinie – Teil 3

Welche Aufsichtsaufgaben und Durchsetzungsbefugnisse durch die zuständigen Behörden werden eingeräumt (Art. 32 / 33 NIS2-Richtlinie)?

Aufsichtsaufgaben für wesentliche und wichtige Einrichtungen:

• Vor-Ort-Kontrollen und externe Aufsichtsmaßnahmen, einschließlich von geschulten Fachleuten durchgeführten Stichprobenkontrollen;
• regelmäßige und gezielte Sicherheitsprüfungen, die von einer unabhängigen Stelle oder einer zuständigen Behörde durchgeführt werden;
• Ad-hoc-Prüfungen, einschließlich solcher, die aufgrund eines erheblichen Sicherheitsvorfalls oder Verstoßes gegen diese Richtlinie der wesentlichen Einrichtung gerechtfertigt sind (nur bei wesentlichen Einrichtungen);
• Sicherheitsscans auf der Grundlage objektiver, nichtdiskriminierender, fairer und transparenter Risikobewertungskriterien, erforderlichenfalls in Zusammenarbeit mit der betreffenden Einrichtung;
• Anforderung von Informationen, die für die Bewertung der von der betreffenden Einrichtung ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit erforderlich sind, einschließlich dokumentierter Cybersicherheitskonzepte, sowie der Einhaltung der Verpflichtungen zur Übermittlung von Informationen an die zuständigen Behörden nach Artikel 27;
• Anforderung des Zugangs zu Daten, Dokumenten und sonstigen Informationen, die zur Erfüllung der Aufsichtsaufgaben erforderlich sind;
• Anforderung von Nachweisen für die Umsetzung der Cybersicherheitskonzepte, z. B. der Ergebnisse von Sicherheitsprüfungen, die von einem qualifizierten Prüfer durchgeführt wurden, und der entsprechenden zugrunde liegenden Nachweise.

Durchsetzungsbefugnisse für wesentliche und wichtige Einrichtungen

• Warnungen über Verstöße gegen diese Richtlinie durch die betreffenden Einrichtungen herauszugeben;
• verbindliche Anweisungen zu erlassen, auch in Bezug auf Maßnahmen, die zur Verhütung oder Behebung eines Sicherheitsvorfalls erforderlich sind, sowie Fristen für die Durchführung dieser Maßnahmen und für die Berichterstattung über ihre Durchführung zu setzen, oder Anordnungen zu erlassen, um diese Einrichtungen aufzufordern, die festgestellten Mängel oder die Verstöße gegen diese Richtlinie zu beheben;
• die betreffenden Einrichtungen anzuweisen, das gegen diese Richtlinie verstoßende Verhalten einzustellen und von Wiederholungen abzusehen;
• die betreffenden Einrichtungen anzuweisen, entsprechend bestimmten Vorgaben und innerhalb einer bestimmten Frist sicherzustellen
• die betreffenden Einrichtungen anzuweisen, die natürlichen oder juristischen Personen, für die sie Dienste erbringen oder Tätigkeiten ausüben und die potenziell von einer erheblichen Cyberbedrohung betroffen sind, über die Art der Bedrohung und mögliche Abwehr- oder Abhilfemaßnahmen zu unterrichten, die von diesen natürlichen oder juristischen Personen als Reaktion auf diese Bedrohung ergriffen werden können;
• die betreffenden Einrichtungen anzuweisen, die im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen innerhalb einer angemessenen Frist umzusetzen;
• für einen bestimmten Zeitraum einen mit genau festgelegten Aufgaben betrauten Überwachungsbeauftragten zu benennen, der die Einhaltung der Artikel 21 und 23 durch die betreffenden Einrichtungen überwacht (nur wesentliche Einrichtungen);
• die betreffenden Einrichtungen anzuweisen, Aspekte der Verstöße gegen diese Richtlinie entsprechend bestimmten Vorgaben öffentlich bekannt zu machen;
• Verhängung von Bußgeldern und weitere Sanktionen

Bußgelder (Art. 34 NIS2-Richtlinie) und weitere Sanktionen

Bußgelder für wesentliche Einrichtungen

• mindestens 10 Mio. € oder mindestens 2% des gesamten weltweiten im vorherigen Geschäftsjahr getätigten Umsatzes, je nachdem welcher Betrag höher ist.

Bußgelder für wichtige Einrichtungen

• mindestens 7 Mio. € oder mindestens 1,4% des gesamten weltweiten im vorherigen Geschäftsjahr getätigten Umsatzes, je nachdem welcher Betrag höher ist.

 

Weitere Sanktionen für wesentliche Einrichtungen, wenn Durchsetzungsmaßnahmen unwirksam bleiben (Art. 32 Abs. 5 NIS2-Richtlinie)

• die Zertifizierung oder Genehmigung für einen Teil oder alle von der wesentlichen Einrichtung erbrachten einschlägigen Dienste oder Tätigkeiten vorübergehend auszusetzen oder eine Zertifizierungs- oder Genehmigungsstelle oder ein Gericht im Einklang mit dem nationalen Recht aufzufordern, die Zertifizierung oder Genehmigung vorübergehend auszusetzen;
• zu verlangen, dass die zuständigen Stellen oder Gerichte im Einklang mit dem nationalen Recht natürlichen Personen, die auf Geschäftsführungs- bzw. Vorstandsebene oder Ebene des rechtlichen Vertreters für Leitungsaufgaben in dieser wesentlichen Einrichtung zuständig sind, vorübergehend untersagen, Leitungsaufgaben in dieser Einrichtung wahrzunehmen.

Sollten personenbezogene Daten im gleichen Vorfall betroffen sein, so ist ein Bußgeld nach DSGVO nicht vorgesehen (keine doppelte Sanktionierung)

Mein Fazit:

Die Richtlinie erteilt den Behörden weitreichende Aufsichts- Durchsetzungsbefugnisse, leider gelten die Durchsetzungsmaßnahmen nicht für öffentliche Verwaltungen. Bei Bußgeldern können die Mitgliedsstaaten Vorschriften erlassen ob und wie Geldbußen gegen öffentliche Verwaltungen verhängt werden, ich vermute in Deutschland wird es keine Bußgelder für öffentliche Verwaltungen geben.

Die Frage bleibt offen, wie auch schön bei der DSGVO, wie und ob unsere zuständigen Behörden / Stellen diese Aufsichts- und Durchsetzungsmaßnahmen stemmen können.

Ich finde die neue NIS2 Richtlinie richtig und wichtig! Ich bin der Meinung, dass ein guter IT-Sicherheitstandard in Unternehmen und die Einhaltung des Datenschutzes im Unternehmen einen Wettbewerbsvorteil bedeuten kann.

Zum 2. Teil der Reihe geht es hier

Wenn Ihr Fragen habt, nehmt Kontakt über unser Kontaktformular auf oder schreibt uns eine E-Mail an office@konzept17.de.

 

Autor: Dirk Bussenius

 

7. Februar 2023