In der NIS-2-Richtlinie wird zwischen „Besonders wichtige Einrichtung“ und „Wichtige Einrichtung“ unterschieden. Der Hauptunterschied zwischen besteht darin, dass für „Wichtige Einrichtungen“ geringere Geldstrafen vorgesehen sind und sie einer reaktiven Aufsicht durch die Behörden unterliegen, im Gegensatz zur proaktiven Aufsicht, die der „Besonders wichtigen Einrichtung“ vorbehalten ist.
In der EU soll es keine unterschiedlichen Mindestschwellenwerte mehr geben, sondern Betroffenheit nach „uniformen Kriterien“ ermittelt werden. Unter die Regulierung sollen mittlere und große Unternehmen fallen:
- Mittel (medium): 50-249 Beschäftigte oder 10-50 Mio. Euro Umsatz, < 43 Mio. Euro Bilanz
- Groß (large): min. 250 Mitarbeitende oder min. 50 Mio EUR Umsatz
Dadurch wird der Anwendungsbereich in Deutschland enorm ausgeweitet.
Ausweitung / Verschärfung der Haftung
Für besonders wichtige Einrichtungen können Sanktionen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes verhängt werden, wobei der höhere Betrag maßgeblich ist. Bei wichtigen Einrichtungen belaufen sich die Bußgelder auf bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes, wobei auch hier der höhere Betrag entscheidend ist.
Die betroffenen Unternehmen und Organisationen müssen angemessene Maßnahmen in Bereichen wie Cyber-Risikomanagement, Sicherheit in der Lieferkette, Business Continuity Management, Verschlüsselung, Zutrittsbeschränkungen sowie Berichterstattung an die Behörde und Abhilfemaßnahmen ergreifen.
Wichtiger Hinweis: Gem. des Entwurfs des Bundesinnenministeriums werden die Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit Ihrem Privatvermögen haften. Die Obergrenze für diese Haftung entspricht 2 % des globalen Jahresumsatzes des Unternehmens.
