top of page

Die neue NIS-2-Richtlinie ist in Kraft getreten.

Sie baut auf ihren Vorgängern auf und erweitert gleichzeitig die Zahl der Verpflichteten sowie den Pflichtenumfang. Die neue Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) trat am 16. Januar 2023 in Kraft.

Das Inkrafttreten der Richtlinie verpflichtete die Mitgliedstaaten, die NIS-2-Richtlinien in ihre Rechtsordnung umzusetzen. Die Mitgliedstaaten müssen dieser Verpflichtung bis spätestens 17. Oktober 2024 nachkommen.


Entwurf eines komplett neuen Cybersicherheitsgesetzes

Die durch die NIS-2-Richtlinie eingeführten Änderungen sind so grundlegend, dass die Tschechische Behörde für Cybersicherheit (NÚKIB) diese Aufgabe mit der Ausarbeitung eines völlig neuen Cybersicherheitsgesetzes und seiner Dekrete angegangen ist, die es der Öffentlichkeit zur Stellungnahme und Diskussion vorgelegt hat.

Dies ist der erste Vorschlag von NÚKIB, der kurz nach der offiziellen Veröffentlichung der NIS-2-Richtlinie erstellt wurde. Es ist zu erwarten, dass die Entwürfe sowohl auf der Grundlage öffentlicher Stellungnahmen als auch im Rahmen des üblichen Gesetzgebungsverfahrens geändert werden.


Wesentliche Änderungen in der Regulierung

Ausweitung der Zahl der Verpflichteten

Schätzungen sprechen von mindestens 6.000 privaten und staatlichen Organisationen, entweder durch Ausweitung regulierter Sektoren (z. B. Abfallwirtschaft), durch Erweiterung bestehender regulierter Sektoren um neue regulierte Dienste (z. B. bestehende digitale Infrastruktursektoren mit neuen regulierten Cloud-Computing-Diensten) oder durch Änderung der Art und Weise, wie Verpflichtete identifiziert werden (wobei die Größe der Organisation das Hauptkriterium für die Aufnahme in die Regulierung sein wird).


Obligatorische Schulung des oberen Managements und größere Verantwortung des Managements für die Gewährleistung der Cybersicherheit

Cybersicherheitsmaßnahmen werden in erster Linie von ihren Gesellschaftsorganen genehmigt. Sie sind auch verpflichtet, ihre Anwendung zu überwachen, und haften für die Nichteinhaltung der Verpflichtungen des betreffenden Verpflichteten. Um ausreichende Kenntnisse und Fähigkeiten im Bereich der Cybersicherheit zu erwerben, müssen sich die Mitglieder des Leitungsorgans regelmäßig schulen.



Beaufsichtigtes Unternehmen ("regulierter Dienstleister")

Der primäre Weg, um festzustellen, ob eine private oder öffentliche Einrichtung unter die Regulierung der NIS2-Richtlinie oder des neuen Cybersicherheitsgesetzes fällt, ist (mit Ausnahmen wie z.B. Datenzentren) die gleichzeitige Erfüllung von zwei Kriterien:

Die Organisation erbringt mindestens eine der in den Anhängen der Richtlinie aufgeführten Dienstleistungen, und ist gleichzeitig ein mittleres oder großes Unternehmen, d. h. beschäftigt 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz oder eine Jahresbilanzsumme von mindestens 10 Mio. EUR (ca. 250 Mio. CZK).


Das Hauptziel der Cybersicherheitsregulierung

Hlavním cílem přijetí směrnice NIS 2 je dosáhnout toho, aby důležité subjekty zaváděly preventivní kroky k posílení své kybernetické bezpečnosti. Tento požadavek je reprezentovaný povinností zavádět tzv. bezpečnostní opatření (např. implementací nebo aktualizací ISMS nebo SOC).

Směrnice NIS 2 pracuje s dvěma režimy povinných osob - “important” a “essential”, čemuž korespondují dva režimy povinností dle návrhu nového zákona o kybernetické bezpečnosti a sice režim nižších povinností dopadající na osoby v režimu “important” a režim vyšších povinností dopadající na osoby v režimu “essential”. Z těchto dvou režimů pak vyplývá okruh organizačních, právních a technických bezpečnostních opatření, které budou muset povinné osoby zavést a dodržovat.


Comments


bottom of page