Welche Geldbußen drohen bei Nicht-Einhaltung der NIS2?

Die Umsetzung der NIS2-Regulierung bringt nicht nur neue Anforderungen an die Cybersicherheit, sondern auch erhebliche finanzielle Konsequenzen für Unternehmen mit sich, die diese nicht erfüllen.

Bußgeld-Vorschriften bei Mißachtung der NIS2-Gesetze

Dabei wird gem. § 65 BSIG zwischen zwei Kategorien unterschieden:

• Besonders wichtige Unternehmen:
  Hier können bei Verstößen Strafen von bis zu 10 Mio. Euro oder 2 % des globalen Jahresumsatzes verhängt werden.
• Wichtige Einrichtungen:
  Bei Nichteinhaltung drohen Bußgelder von bis zu 7 Mio. Euro oder 1,4 % des Jahresumsatzes.

-> Sie wissen nicht, ob Sie besonders wichtig oder „nur“ wichtig sind? – Betroffenheit-Check

Durchsetzbarkeit der NIS2-Bußgelder? – ähnlich gering wie bei der DSGVO

Es ist NICHT anzunehmen, dass es eine rasche Durchsetzung von Bußgeldern seitens des Bundesamtes für Sicherheit in der Informationstechnologie geben wird. Dafür ist das Bundesamt weder organisatorisch noch personell aufgestellt. Das gilt nicht nur für die Detektion von Verstößen

ABER: Management-Haftung für NIS2-Umsetzung

Ein weiterer Trigger zur Umsetzung der NIS2-Richtlinie ist die Verpflichtung der obersten Führungsebene, geregelt in Artikel 20 der NIS2-Richtlinie. Die Geschäftsleitung muss nicht nur die erforderlichen Dokumente („Strategien“) und die Ergebnisse des Risikomanagements freigeben, Umsetzungsmaßnahmen finanzieren und sich selbst in diesen Bereichen schulen lassen, sondern muss auch die Umsetzung überwachen. Die Mißachtung der Verpflichtung der Geschäftsleitung oder eine unzureichende Implementierung der Maßnahmen aus Artikel 21 bzw. §30 BSIG, kann die Leitung auch persönlich haftbar gemacht werden. Es ist derzeit noch unklar, ob ein Verstoß gegen diese Pflichten von einer Directors&Officers-Versicherung (D&O-Versicherung )überhaupt wirksam versichert werden kann. Mindestens wird die Versicherung aber versuchen, aufgrund grober Fahrlässigkeit aus der Haftung zu kommen.
Die strengen Sanktionen und die persönliche Haftung des Managements sollen dazu führen, dass Unternehmen frühzeitig in ihre IT-Sicherheit investieren und diese laufend überprüfen und optimieren.

Merke:
Wenn Dir das Unternehmen nicht selbst gehört, weil Du „angestellter Manager“ bist,
dann gehst Du nach einem erfolgreichen Hacker-Angriff nicht als Millionär in Rente!   

Weitere Konsequenzen der NIS2-Mißachtung

• Verlust der Haftung der Cyber-Risiko-Versicherung –
  diese werden die NIS2 als gesetzliche Mindestverpflichtung sehen und die Haftung bei Vorfällen verweigern, wenn die Mindeststandards nicht eingehalten sind. Alleine weil dies gesetzliche Vorgaben sind – ganz egal, was im Risiko-Fragebogen bei Abschluss angegeben wurde.
• Vertreuens- und Reputationsverlust
  Neben den finanziellen Risiken droht auch ein erheblicher Reputationsverlust, sollte ein Sicherheitsvorfall eskalieren.
  Die Jahresziele dürften in der Folge kaum mehr erreichbar sein – was sich auch in Boni und Zulagen bemerkbar machen wird,
  weil immer weniger argumentierbar ist, dass Cyberangriffe unvorhersehbar gewesen wären und so etwas wie „höhere Gewalt“ seien.
• Datenschutz-Konsequenzen
  Ermittlungen und ggf. Bußgelder auch von Datenschutz-Aufsichtsbehörden nach einem Abfluss personenbezogener Daten.
  Auch wenn Bußgelder unwahrscheinlich sind, so ist die beantwortung umfangreicher Fragebögen der Behörden und ggf. gerichtliche Verteidigung kostspielig.
  Darüber hinaus können etwaige Schadensersatzforderungen von Betroffenen – von darauf spezialisierten Kanzleien immer häufiger als Musterklagen organisiert – eine erhebliche Haftungssumme darstellen: rechnen Sie einfach mal „best case“ 250 EUR (Schadensersatz und Rechtsverteidigung) je Betroffener Person.

Für weiterführende Informationen und detaillierte Handlungsempfehlungen zur Umsetzung der NIS2-Richtlinie besuchen Sie bitte: NIS2 Umsetzung.