Pflichten der Betroffenen
Die betroffenen Unternehmen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Cybersicherheit zu gewährleisten. In der Praxis wird dies durch ein detailliertes Risikomanagementsystem umgesetzt werden müssen. An diese Managementsysteme stellt die EU zahlreiche Mindestanforderungen. Das Risikomanagementsystem muss mindestens die folgenden Punkte abdecken:
- die Erstellung von Risikoanalyse- und Informationssicherheitskonzepten einschließlich Maßnahmen zur Bewältigung von Sicherheitsvorfällen
- Maßnahmen zur Aufrechterhaltung des Betriebs (wie Back-up-Management)
- Sicherheit der Lieferketten
- sonstige Sicherheitsmechanismen wie beispielsweise: Mitarbeiterschulungen, Verschlüsselung, Multi-Faktor-Authentifizierung, sichere Kommunikationsmittel und Zugriffskontrollen.
Zusätzlich besteht für Unternehmen eine Pflicht, Bericht über Sicherheitsvorfälle an die zuständige Behörde zu erstatten. Bei Sicherheitsvorfällen, die Auswirkungen auf die von Unternehmen erbrachten Dienste haben, ist in einem abgestuften Verfahren binnen 24 und 72 Stunden Bericht zu erstatten. In besonders schweren Fällen sind zudem die Nutzer der Dienste zu informieren.
Nachdruck verleiht der NIS-2-Richtlinie das in ihr verankerte Haftungsrisiko für die Unternehmensleitung. Leitungsorgane haben die Umsetzung geeigneter Schutzmaßnahmen zu überwachen. Für Verstöße dagegen können sie persönlich haftbar gemacht werden. Die genaue Ausgestaltung der Haftungsregeln unterliegt jedoch den Mitgliedsstaaten bei der Umsetzung in nationales Recht.
Seite 1 Cybersecurity-Richtlinie der EU – Was die NIS-2-Richtlinie bringt
Seite 2 Pflichten der Betroffenen
Seite 3 Aufsicht und Durchsetzung
Hagen Küchler 
- Anmelden, um Kommentare verfassen zu können
