Der Anwendungsbereich der Richtlinie gilt für Unternehmen und Organisationen (Einrichtungen), welche in der EU tätig sind oder dort ihre Dienste erbringen, zu einem kritischen Sektor (gemäß Anhang I oder Anhang II) zählen und Schwellwerte für mittlere Unternehmen überschreiten. ^{[L333/108 – Artikel 2 (1)]}

Ausnahmen gibt es für die Bereiche Kommunikationsnetze, Kommunikationsdienste, Vertrauensanbietern, Namensregister und Domänennamensystem-Dienstanbietern, diese sind unabhängig der Größe von dieser Richtlinie betroffen. ^{[L333/108 – Artikel 2 (2)]}

Kritische Sektoren und Sektoren mit hoher Kritikalität sind: ^{[L333/143-149 – (Anhang I und II)]}

Kritische Sektoren:

• Post- und Kurierdienste
• Abfallbewirtschaftung
• Produktion, Herstellung und Handel mit chemischen Stoffen
• Produktion, Verarbeitung und Vertrieb von Lebensmitteln
• Verarbeitendes Gewerbe/Herstellung von Waren (u.a. Medizinprodukte, Elektronik, Maschinenbau, Fahrzeugen)
• Anbieter digitaler Dienste
• Forschung

Sektoren mit hoher Kritikalität:

• Energie (Elektrizität, Fernwärme und -kälte, Erdöl, Erdgas, Wasserstoff)
• Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
• Bankenwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trink- oder Abwasser
• Digitale Infrastruktur oder Verwaltung von IKT-Diensten (B2B)
• Öffentliche Verwaltung
• Weltraum

Je nach Art und Größe der Organisation können die Pflichten für betroffene Unternehmen abweichen.

Pflichten gibt es in Bezug auf das Cybersicherheits-Risikomanagement, sowie Berichtspflichten , Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen. ^{[L333/108 – Artikel 1 (2)]}

Das Implementieren eines ISMS kann dabei unterstützen, die Anforderungen der Richtlinie zu erfüllen. Die Richtlinie empfiehlt das Einbeziehen internationaler Normen, um Maßnahmen zum Schutz von Informationen und Systemen zu treffen. Hierbei wird die Reihe ISO/IEC 27000 in der Richtlinie genannt. ^{[L333/95 (79)]}

Die international anerkannte ISO/IEC 27001 kann von akkreditierten Zertifizierungsstellen unabhängig geprüft werden. Dabei erfolgt eine regelmäßige und unabhängige Prüfung des zertifizierten Managementsystems durch Fachexperten. Das Zertifikat dient dem Nachweis der Implementierung eines ISMS gegenüber relevanten Interessengruppen.

Gefordert wird „ohne Auferlegung oder willkürliche Bevorzugung der Verwendung einer bestimmten Technologieart die Anwendung europäischer und internationaler Normen und technischer Spezifikationen für die Sicherheit von Netz- und Informationssystemen.“ ^{[L 333/131 – Artikel 25 (1)]}

Wesentliche und wichtige Einrichtungen sollen „(…) geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen , um die Risiken für die Sicherheit der Netz- und Informationssysteme, (…) zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten .“ ^{[L 333/127 – Artikel 21 (1)]}

„Die (…) genannten Maßnahmen müssen auf einen gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, (…) Systeme vor Sicherheitsvorfällen zu schützen , und zumindest Folgendes umfassen“: ^{[L333/127 – Artikel 21 (2)]}

• Konzept zur Risikoanalyse und Risikomanagement sowie Verfahren zur Bewertung der Wirksamkeit
• Bewältigung von Sicherheitsvorfällen sowie Aufrechterhaltung des Betriebs (Business Continuity Management), Backup-Management, Wiederherstellung und Krisenmanagement
• Sicherheit im Lieferantenmanagement
• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
• Cyberhygiene und Schulungen im Bereich der Cybersicherheit
• Maßnahmen zur Kryptographie
• Personalsicherheit und Authentifizierung

Wesentliche und wichtige Einrichtungen müssen gegebenenfalls die zuständige Behörde und die Empfänger der bereitgestellten Dienste unverzüglich über Sicherheitsvorfälle unterrichten.  ^{[L333/128 – Artikel 23 (1)]}

Zu übermitteln ist: ^{[L333/129 – Artikel 23 (4)]}

• Unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme eine Frühwarnung
• Unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntnisnahme eine Meldung über den Sicherheitsvorfall
• Auf Ersuchen der zuständigen Stellen einen Zwischenbericht
• Spätestens einen Monat nach Meldung des Sicherheitsvorfalls einen Abschlussbericht
  (inkl. Beschreibung, Schweregrad, Auswirkungen, Art der Bedrohung, Ursache, Abhilfemaßnahmen)

Verantwortlich zur Einhaltung und Überwachung der Maßnahmen im Bereich Cybersicherheit sind die jeweiligen Leitungsorgane der Organisation . Diese können auch bei Verstößen verantwortlich gemacht werden. ^{[L333/126 – Artikel 20 (1)]}

Mitglieder der Leitungsorgane müssen an entsprechenden Schulungen teilnehmen und Mitarbeitenden regelmäßig entsprechende Schulungen anbieten, um „Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben“. ^{[L333/127 – Artikel 20 (2)]}

Unter anderem werden Geldbußen unter Berücksichtigung der Umstände des Einzelfalls wirksam, verhältnismäßig und abschreckend verhängt. ^{[L333/139 – Artikel 34 (1)]}

Bei wesentlichen Einrichtungen, „(…) Geldbußen mit einem Höchstbetrag von mindestens 10 000 000 EUR oder mit einem Höchstbetrag von mindestens 2% des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens (…), je nachdem welcher Betrag höher ist. „ ^{[L333/139 – Artikel 34 (4)]}

Bei wichtigen Einrichtungen, „(…) Geldbußen mit einem Höchstbetrag von mindestens 7 000 000 EUR oder  mit einem Höchstbetrag von mindestens 1,4% des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens (…), je nachdem welcher Betrag höher ist.„ [L333/139 – Artikel 34 (5)]

Sollten Sie weitere Informationen zur Implementierung von Informationssicherheitsmanagementsystemen benötigen, beraten wir Sie gerne und unterstützen Sie bei der Einführung und dem Etablieren der Prozesse. Gerne Unterstützen wir Sie auch bei der kontinuierlichen Verbesserung Ihres bestehenden ISMS . Wir Arbeiten mit Rechtsanwälten zusammen, welche sich auf IT-, Datenschutz- und Informationssicherheitsrecht, sowie die NIS-Richtlinie spezialisiert haben. Gerne vermitteln wir Ihnen eine Rechtsberatung zur Richtlinie und besprechen hierbei konkrete Maßnahmen zur Erfüllung rechtlicher, technischer und organisatorischer Maßnahmen .

Am besten Sie senden uns hierzu eine Mail an: i n f o @ s u r i a n o . d e

oder Rufen Sie uns an unter: +49 9181 /487 467 0