GT News

Steuern, Buchhaltung, Recht und mehr. Alle wichtigen Neuigkeiten für Ihr Unternehmen.

Jan Zajíček | February 27, 2023

GT Verdikt: NIS2 ist riesig, größer als GDPR. Aber es ist notwendig

Teile den Artikel

Směrnice NIS2 navazuje na existující regulaci, která v případě ČR momentálně dopadá na asi 600 společností. Nová legislativa rozšíří povinnosti v oblasti kybernetické bezpečnosti na nesrovnatelně větší okruh subjektů. Za cíl si klade razantní posílení ochrany podnikatelů i státních organizací ve virtuálním prostředí. Jak náročná bude implementace vyhlášky? Jak vysoké náklady s sebou potřebná technická, provozní a organizační opatření ponesou? Odpoví Jan Zajíček, partner Grant Thornton.

Die NIS2-Richtlinie knüpft an die bestehende Regelung an, die im Fall der Tschechischen Republik derzeit etwa 600 Unternehmen betrifft. Die neue Gesetzgebung wird die Pflichten
im Bereich der Cybersicherheit auf einen ungleich größeren Kreis von Subjekten ausdehnen. Sie zielt darauf ab, den Schutz von Unternehmern und staatlichen Organisationen im virtuellen Umfeld rasant zu stärken. Wie schwierig wird die Umsetzung der Verordnung sein? Wie hoch werden die Kosten für die notwendigen technischen, betrieblichen und organisatorischen Maßnahmen sein? Dies beantwortet Jan Zajíček, Partner von Grant Thornton. 

„Die Auswirkungen der Richtlinie werden enorm sein. Machen wir uns klar, dass wir über Tausende von Entitäten sprechen. Bei den größten Unternehmen können die Investitionskosten auf Hunderte von Millionen Kronen und die Betriebskosten auf mehrere zehn Millionen Kronen ansteigen. Im Vergleich zur NIS2 ist selbst die GDPR-Richtlinie (DSGVO) in Bezug auf die Implementierungskosten gering. Darüber hinaus werden die neuen Regeln auch für Segmente gelten, die sich bisher praktisch mit der Cybersicherheit noch nicht befasst haben. Obwohl die Implementierung neuer Mechanismen für Unternehmen in diesen Bereichen (z.B. Lebensmittel-industrie oder Abfallwirtschaft) sehr schwierig sein kann, bin ich überzeugt, dass die Vereinheitlichung der durch die NIS2-Richtlinie gebrachten Regeln im Bereich der Cybersicherheit notwendig war. Nicht nur der Konflikt in der Ukraine hat gezeigt, dass die Lösung von Cyberbedrohungen unerlässlich ist, um die Sicherheit aller Bürger in der Tschechischen Republik zu erhöhen.

In Hinblick darauf, dass am Markt schon derzeit Fachkräfte fehlen, die in der Lage sind,
die notwendigen Lösungen anzubieten, appellieren wir an die betroffenen Unternehmen,
die Implementierung nicht zu verzögern. Zur leichteren Orientierung in dieser komplizierten Problematik sind wir, zusammen mit dem Exekutivdirektor der Assoziation der kritischen Infrastruktur der Tschechischen Republik, Herrn Michal Moroz,
FÜNF GRUNDLEGENDE FRAGEN UND ANTWORTEN zur NIS2-Richtlinie vorbereitet haben,“ schließt Jan Zajíček. 

1.    Warum wird so viel über die NIS2-Richtlinie geredet? 

Denn sie ist nach der GDPR-Richtlinie (DSGVO) die zweite europäische Rechtsnorm,
die EU-weit nahezu alle mittleren und großen Unternehmen betreffen wird. Gleichzeitig trägt sie erhebliche Kosten im Zusammenhang mit der Einführung von Maßnahmen technischer, betrieblicher und organisatorischer Art, deren Ergebnis eine rasante Stärkung des Cyberschutzes von Unternehmern und staatlichen Organisationen in der EU sein soll. 

2. Für wen werden die neuen Regeln gelten? 

Das ist bisher nur teilweise klar. Der Mindestkreis an Verpflichteten wird durch die
NIS2-Richtlinie selbst festgelegt, dieser Kreis kann jedoch auf nationaler Ebene weiter erweitert werden und Nationales Amt für Cyber- und Informationssicherheit - NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) eindeutig erklärte, dass es von dieser Möglichkeit Gebrauch machen wird. Es ist daher sicher, dass die neuen Regeln für alle Einrichtungen kritischer Infrastruktur gelten werden (festgelegt nach einer anderen neuen europäischen CER-Richtlinie), alle Unternehmen, die bestimmte Dienstleistungen erbringen (unabhängig von ihrer Größe), sowie die meisten mittleren und großen Unternehmen in 18 Schlüsselbranchen (mit mehr als 50 Mitarbeitern und/oder einem Umsatz von mehr als 10 Mio. EUR jährlich). Der endgültige Kreis der Verpflichteten wird sich jedoch zweifellos vor allem auf kleinere Organisationen ausweiten, die in einem der kritischen Branchen tätig sind.

3. Stellt die NIS2 eine Evolution oder Revolution dar? 

Wie für wen. Für Unternehmen kritischer Infrastruktur, die den Verpflichtungen nach geltendem Recht unterliegen und bereits daran gewöhnt sind, Cyberrisiken gemäß dem Gesetz zu managen, wird es eher eine Evolution sein. Für neu ernannte Unternehmen wird es jedoch eine revolutionäre Änderung sein. Das Gesetz wird zwei Steuerregime – ein höheres und ein niedrigeres – je nach Verpflichtungen einführen. Die Unterschiede werden vor allem durch das unterschiedliche Risikoniveau, das unterschiedliche Niveau der staatlichen Anforderungen und die Art der Kontrolle deren Einhaltung verursacht. 

Die konkreten Kriterien für die Aufnahme in eine höhere Kategorie werden durch eine Verordnung festgelegt, jedoch kann der Einfachheit halber gesagt werden, dass die derzeitigen Verpflichteten in das Regime mit höheren Verpflichtungen fallen werden. Die Definition des Umfangs des Cybersicherheitsmanagements wird eine Schlüsselaufgabe sein. Wenn der Dienstleister einer regulierten Dienstleistung diesen Schritt nicht unternimmt, wird die gesamte Organisation als Anwendungsbereich des Cybersicherheitsmanagements betrachtet. Anschließend wird die Organisation Sicherheitsmaßnahmen ergreifen, die detailliert durch Verordnungen für jedes Regime separat festgelegt sind.

Die für das Regime höherer Verpflichtungen festgelegten Sicherheitsmaßnahmen basieren auf der geltenden Gesetzgebung. Grundprinzipien werden sein: Feststellung des Umfelds, die Identifizierung der zur Sicherung des Betriebs regulierter Dienste notwendigen Vermögenswerte, eine umfassende Risikobewertung und Einführung angemessener Maßnahmen zur Reduzierung der gegebenen Risiken auf ein akzeptables Niveau. Für das Regime der niedrigeren Verpflichtungen legt die Verordnung einfachere und weniger anspruchsvolle Regeln fest, die nur eine unerlässlich notwendige Analyse erfordern.

4. Worauf kann man sich vorbereiten?

Jede Organisation selbst prüft innerhalb von 90 Tagen nach Inkrafttreten des Gesetzes, ob sie die Kriterien eines Dienstleisters regulierter Dienstleistungen erfüllt, und muss sich gegebenenfalls auf dem NÚKIB-Portal registrieren. Es wird auch verwendet, um Vorfälle bzw. Inzidenten zu melden. Die Kontrolle der Erfüllung der Verpflichtungen wird in beiden Regimen unterschiedlich sein. Im Regime höherer Verpflichtungen werden Kontrollen weiterhin durch das NÚKIB-Amt durchgeführt werden. Im Regime der niedrigeren Verpflichtungen sind die Organisationen verpflichtet, auf eigene Kosten für regelmäßige Kontrollen durch autorisierte Inspektoren zu sorgen, deren Tätigkeit vom NÚKIB beaufsichtigt wird. 

Bei ev. festgestellten Mängeln ist das NÚKIB-Amt berechtigt, Besserungsmaßnahmen zur Beseitigung der festgestellten Mängel aufzuerlegen, in schwerwiegenderen Fällen eine Abmahnung auszusprechen oder eine Sanktion zu verhängen. Bei Verstößen wird die Behörde ermächtigt, Bußgelder zu verhängen, deren Obergrenze sich an den Vorgaben der NIS2-Richtlinie orientiert. Im Bereich der höheren Verpflichtungen sieht das in Vorbereitung befindliche Gesetz auch andere Strafen vor, darunter die Aussetzung der Gültigkeit der Bescheinigung/Zertifikation und die Aussetzung der Leitungsfunktion einer natürlichen Person, worüber das Gericht aufgrund eines NÚKIB-Vorschlags entscheiden wird.

5. Wann sollte man mit der Vorbereitung beginnen?

Ideal sofort. Und das, auch wenn das neue Gesetz zur Cybersicherheit derzeit noch auf den gesamten Gesetzgebungsprozess wartet. Das NÚKIB-Amt kommuniziert seine Ausarbeitung jedoch sehr transparent und veröffentlichte im Januar 2023 einen Paragraphen-Wortlaut samt Entwürfen von Durchführungsverordnungen. Die Entwürfe werden zweifellos noch teilweise geändert, die wesentlichen Parameter sind jedoch durch die europäische Richtlinie definiert, sodass sie bereits heute offensichtlich sind.

Der Hauptgrund, warum die Lösung nicht verschoben sein sollte, ist der Mangel an Experten für die Cyber- und Informationssicherheit. Die Einführung neuer Vorschriften auf gesamteuropäischer Ebene wird dieses Problem verschärfen, da dies zu einer erheblichen Zunahme der Nachfrage nach diesen Experten führen wird und ihr Preis bei abnehmendem Angebot steigen wird. Egal, ob Sie sich entscheiden, Ihr eigenes internes Team aufzubauen oder sich auf die Hilfe externer Spezialisten verlassen, zögern Sie nicht, diese auszuwählen, bevor jemand anderes sie gewinnt.