Im Jahr 2023 hat die Europäische Union eine Reform der Cybersicherheitsregulierung für kritische Infrastrukturen durchgeführt, die NIS2 Richtlinie. Der Geltungsbereich wurde erheblich erweitert, was zur direkten Betroffenheit von etwa 30.000 Unternehmen in Deutschland führt. Die Umsetzung der EU-Richtlinie in deutsches Recht muss bis zum 17. Oktober 2024 erfolgen.
Was sind die neuen Anforderungen?
Geschäftsleitungen sind nun verantwortlich für die Durchführung und Einhaltung von Cybersicherheitsmaßnahmen. Bei Verstößen gegen die Vorgaben der Richtlinie tragen sie persönliche Haftung.
Sowohl Unternehmen als auch Lieferanten müssen die Regeln der Cybersicherheit einhalten und dies nachweisen können. Im Falle erheblicher Sicherheitsvorfälle müssen diese innerhalb von 24 Stunden den Aufsichtsbehörden gemeldet werden.
Jede Einrichtung muss über ein Risikomanagement verfügen, das technische und organisatorische Maßnahmen ergreift, um die Cybersicherheit zu gewährleisten.