NIS 2 - Die Cybersecurity-Gesetzgebung des Jahrzehnts

Es wird erwartet, dass über 11.000 Unternehmen in Deutschland, insbesondere im Maschinen- und Anlagenbau, als "kritische Infrastruktur" eingestuft werden. Die Geschäftsführung ist dafür verantwortlich, sicherzustellen, dass angemessenes Risikomanagement für Systeme und Anwendungen implementiert wird und auf Anfrage der Nachweis sofort zur Verfügung steht. In schweren Fällen kann die Geschäftsführung persönlich haftbar gemacht werden und von der nationalen Aufsichtsbehörde entlassen werden. Es gibt Berichtspflichten und Geldbußen für betroffene Unternehmen. KI kann hier u.a. die Analyse und den jederzeit zu erstellenden Bericht zur Risikolage im Unternehmen erstellen. Das erspart jede Menge Zeit und Geld.

Bei erheblichen Sicherheitsvorfällen müssen die zuständigen Behörden innerhalb von 24 Stunden informiert werden. Geldbußen können bis zu 10 Millionen Euro oder 2% des weltweiten Umsatzes des Unternehmens betragen. Nichterfüllung von Cybersicherheitsanforderungen kann mit Geldbußen von bis zu 15 Millionen Euro oder 2,5% des Umsatzes belegt werden. Bei "nicht-essenziellen" Anforderungen verringern sich die Geldbußen auf 10 Mio. bzw. 2% des Umsatzes.

Noch ist die NIS 2-Richtlinie derzeit nicht direkt anwendbar, sondern muss erst noch in nationales Recht umgesetzt werden. Das muss bis zum 17.10.2024 geschehen sein.

Text: Michael Trabert, DSGVO Cyberschutz Experte und KI Trainer
Kontakt: https://dsgvo-cyber-schutz.de/impressum/

Weitere Info auf der Seite der Europäischen Kommission.
https://digital-strategy.ec.europa.eu/de/policies/nis2-directive