Warum ist das Thema wichtig?

Cyberangriffe sind heute eine der größten Bedrohungen für Unternehmen jeder Größe und Branche.

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555), die Verordnung über die digitale operationelle Resilienz des Finanzsektors (DORA) sowie der Cyber Resilience Act (CRA) stellen weitreichende Anforderungen an Unternehmen, um die Sicherheit von Netz- und Informationssystemen, digitalen Produkten und kritischen Dienstleistungen zu gewährleisten. Unternehmen, die nicht rechtzeitig handeln, riskieren hohe Geldbußen, Geschäftsrisiken und persönliche Haftung der Geschäftsleitung.

Wer ist betroffen?

Die neuen Regelungen betreffen eine breite Palette von Unternehmen:

• „Wesentliche“ und „wichtige“ Einrichtungen nach der NIS2-Richtlinie, darunter Betreiber kritischer Infrastrukturen in den Sektoren Energie, Verkehr, Finanzwesen, Gesundheitsversorgung, Wasserwirtschaft, digitale Infrastruktur und öffentliche Verwaltung.
• „Finanzunternehmen“ nach DORA, darunter Banken, Versicherungen, Investmentfirmen und Krypto-Dienstleister, die strenge Vorgaben zur digitalen operationellen Resilienz erfüllen müssen.
• Hersteller von Produkten mit digitalen Elementen gemäß Cyber Resilience Act (CRA), die künftig die Sicherheit ihrer Produkte während des gesamten Lebenszyklus sicherstellen müssen.

Auch Mittelständische Unternehmen, die bislang nicht unter Regulierung fielen, können von der NIS2-Richtlinie erfasst sein, sofern sie innerhalb eines regulierten Sektors tätig sind und bestimmte Größenkriterien erfüllen.

Die neuen Regeln und Pflichten – Was ändert sich konkret?

Die wichtigsten neuen Verpflichtungen umfassen insbesondere:

• Risikomanagementpflichten: Unternehmen müssen technische und organisatorische Maßnahmen zur Cybersicherheit umsetzen, die den Stand der Technik widerspiegeln.
• Verantwortlichkeit der Geschäftsleitung: Führungskräfte tragen die Hauptverantwortung für die Einhaltung der Cybersicherheitsvorschriften und müssen regelmäßig geschult werden.
• Meldepflichten für Sicherheitsvorfälle: Unternehmen müssen erhebliche Vorfälle innerhalb von 24 Stunden einer nationalen zuständigen Behörde (z. B. dem BSI in Deutschland) melden und innerhalb von 72 Stunden eine detaillierte Analyse nachreichen.
• Sicherheitsanforderungen für Produkte mit digitalen Elementen (CRA): Hersteller müssen Cybersecurity-Risiken bereits in der Entwicklungsphase berücksichtigen und regelmäßige Sicherheitsupdates bereitstellen.
• Regelmäßige Prüfungen und Testungen (DORA): Finanzunternehmen müssen ihre IT-Systeme kontinuierlich auf Widerstandsfähigkeit gegenüber Cyberbedrohungen testen.

Ab wann gelten die Maßnahmen?

• Die NIS2-Richtlinie muss bis 17. Oktober 2024 in nationales Recht umgesetzt sein.
• Die DORA-Verordnung gilt ab 17. Januar 2025 unmittelbar für alle betroffenen Finanzunternehmen.
• Der Cyber Resilience Act (CRA) wird voraussichtlich in der zweiten Jahreshälfte 2024 verabschiedet und gilt dann nach einer Übergangsfrist von 24 Monaten.

Was passiert, wenn Unternehmen nicht handeln?

Unternehmen, die die neuen Vorschriften ignorieren, riskieren erhebliche Sanktionen:

• Geldbußen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für Verstöße gegen die NIS2-Richtlinie.
• Bußgelder von bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes für Verstöße gegen den Cyber Resilience Act (CRA).
• Haftung der Geschäftsleitung: Führungskräfte können bei Compliance-Verstößen persönlich haftbar gemacht werden.

Chancen & Wettbewerbsvorteile

Unternehmen, die frühzeitig Maßnahmen ergreifen, können sich strategische Vorteile sichern:

• Erhöhte Resilienz gegen Cyberangriffe und Reduktion wirtschaftlicher Schäden.
• Vermeidung hoher Bußgelder und rechtlicher Konsequenzen.
• Vertrauensvorteile bei Kunden, Investoren und Partnern, die zunehmend Wert auf sichere IT-Infrastrukturen legen.

Unternehmen sollten sofort ihre IT-Sicherheitsstrategie überprüfen und anpassen. Wir unterstützen Sie bei der Umsetzung der neuen Vorgaben und helfen Ihnen, Ihre IT-Sicherheit gesetzeskonform und zukunftssicher aufzustellen.