Home / Veröffentlichungen / 2024 - Themen, die Sie bewegen werden / NIS2 & DORA – Zur Umsetzung der neuen Cybersich...
Inhaltsverzeichnis
  1. Zukunftsfinanzierungsgesetz verabschiedet
  2. Ein Update zu CSRD, ESRS, SFDR und Taxonomie
  3. Nachhaltigkeit in der Unternehmensführung
  4. M&A-Transaktionen unter der Foreign Subsidies Regulation
  5. Überarbeitung des Kartellrechts: Die 11. GWB-Novelle
  6. EU-Entwaldungsverordnung – Neue ESG-Compliance-Pflichten
  7. Green Claims & Green(er) Products
  8. Reform des europäischen Produktrechts
  9. PFAS – Kommt jetzt das Verbot der Ewigkeitschemikalien?
  10. Arbeitszeiterfassung: Reform des ArbZG
  11. Kollektiver Rechtsschutz 2.0 – Die neue Abhilfeklage
  12. Wärmewende in Deutschland nimmt Fahrt auf
  13. EU macht Tempo: Ausbau- und Beschleunigungsperspektiven für 2024
  14. Markthochlauf von Wasserstoff – Wo geht die Reise hin?
  15. Data Law: Data Act, Data Governance Act & Co.
  16. Eigene KI-Sprachmodelle von Unternehmen
  17. NIS2 & DORA – Zur Umsetzung der neuen Cybersicherheitsvorgaben
  18. Standardessenzielle Patente: Neue Trends und EU-VO-Entwurf
  19. Restrukturierung in der Immobilien- und Baubranche
  20. StaRUG – Eine „echte Option“ für Finanzinvestoren?
  21. Mindestharmonisierung der Insolvenzanfechtung in Europa
  22. Mindestbesteuerung bereits ab 2024
  23. Steuerliche Auswirkungen durch das MoPeG
  24. Neues aus der CMS Stiftung

NIS2 & DORA – Zur Umsetzung der neuen Cybersicherheitsvorgaben

Medienberichten zufolge hat die Anzahl und Schwere von Ransomware-Angriffen – nicht zuletzt aufgrund der MOVEit-Sicherheitslücke – im Jahr 2023 ein neues Rekordniveau erreicht: Nie zuvor waren weltweit so viele Privatpersonen, Behörden und Unternehmen von erfolgreichen Ransomware-Attacken betroffen wie in diesem Jahr.

Ebenfalls auf Rekordniveau bewegt sich die Regulierungsdichte, mit der sich Unternehmen im Bereich der Cybersicherheit gegenwärtig konfrontiert sehen. Während sich der Cyber Resilience Act noch im Gesetzgebungsverfahren befindet (Rat und Parlament haben hier Ende November eine vorläufige Einigung erzielt), wurden in Gestalt der NIS2-Richtlinie – flankiert von der CER-Richtlinie – und dem Digital Operational Resilience Act (DORA) Anfang 2023 umfangreiche regulatorische Vorgaben in Kraft gesetzt, um Unternehmen in Schlüsselsektoren der EU zur Gewährleistung eines hohen Cybersicherheitsniveaus zu verpflichten.

Viel Zeit zur Umsetzung der neuen Vorgaben bleibt nicht: Die Anforderungen der NIS2- und CER-Richtlinien sind von den Mitgliedstaaten ab dem 18. Oktober 2024 anzuwenden, die Vorgaben des DORA gelten ab dem 17. Januar 2025. Mithin gilt es, das Jahr 2024 für die Implementierung der neuen Anforderungen zu nutzen. Der Aufwand und die Kosten hierfür dürften erheblich sein: Schätzungen zufolge soll allein die Umsetzung der Anforderungen der NIS2-Richtlinie in Deutschland unternehmerische Mehrkosten in Höhe von EUR 7,3 Mrd. bedingen.

Etablierung eines unionsweiten Mindestniveaus an Cybersicherheit durch die NIS2-Richtlinie

Die gesetzgeberische Umsetzung der NIS2-Richtlinie in Deutschland läuft: Zuletzt hat das BMI im September 2023 ein Diskussionspapier veröffentlicht, das eine Änderung des BSI-Gesetzes (BSIG) vorsieht und auf die Umschreibung des Anwendungsbereichs und die geplanten unternehmerischen Pflichten zugeschnitten ist. Kurz zuvor, im Juli 2023, wurde ein Referentenentwurf für das die CER-Richtlinie umsetzende KRITIS-Dachgesetz veröffentlicht.

Von den neuen Vorgaben werden künftig neben der öffentlichen Verwaltung und digitalen Diensten insbesondere Post- und Kurierdienste, die Abfallbewirtschaftung, die Chemikalien- und Lebensmittelproduktion (einschließlich der Verarbeitung und des Vertriebs) und die Herstellung von medizinischen und elektronischen Produkten, Maschinen und Fahrzeugen erfasst sein. An die Stelle der bisherigen anlagenspezifischen Schwellenwerte der BSI-KritisV werden die KMU-Schwellenwerte für kleine und mittlere Unternehmen treten, d.h. im Falle der Beschäftigung von mindestens 50 Mitarbeitenden oder eines Jahresumsatzes und einer Jahresbilanzsumme von jeweils über EUR 10 Mio. ist grundsätzlich von einer Anwendbarkeit der neuen Vorgaben auszugehen. Bestimmte Akteure werden darüber hinaus auch ohne Überschreitung dieser Schwellenwerte in den Anwendungsbereich des neuen BSIG fallen.

Neben einer grundsätzlichen Registrierungspflicht und vorfallabhängigen Meldepflichten (mit einer Erstmeldefrist von 24 Stunden) müssen erfasste Unternehmen künftig ein umfassendes, auch die Lieferkette abdeckendes Risikomanagement betreiben, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von IT-Systemen, Komponenten und Prozessen zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten. Die Verantwortung für die Ausgestaltung und Umsetzung der erforderlichen Maßnahmen ist zwingend auf Leitungsebene zu verorten, einschließlich einer Haftung des Leitungsorgans gegenüber dem Unternehmen für den Fall einer unzureichenden Implementierung.

Die Europäische Kommission ist verpflichtet, die Anforderungen für bestimmte Bereiche in Gestalt von Durchführungsrechtsakten bis zum 17. Oktober 2024 zu konkretisieren. Im Übrigen gilt es im Laufe des kommenden Jahres die aktuellen nationalen Umsetzungsbestrebungen in den Blick zu nehmen, zumal diese überschießende nationale Anwendungsbereiche und Anforderungen enthalten können (wie auch der Entwurf des deutschen Umsetzungsgesetzes).

Harmonisierung der Cybersicherheit und Betriebsstabilität im Finanzsektor durch den DORA

Der unmittelbar in den Mitgliedstaaten anwendbare DORA weist inhaltlich ähnliche Spezifika auf. Sein weiter Anwendungsbereich erfasst neben Finanzunternehmen aus insgesamt 20 Betätigungsfeldern (einschließlich der betrieblichen Altersvorsorge) auch Unternehmen, die den Finanzunternehmen digitale Dienste und Datendienste einschließlich Hardwaredienstleistungen zur Verfügung stellen (sog. IKT-Drittdienstleister).

Zentraler Bestandteil des DORA sind sehr dezidierte und feingliedrige Anforderungen an das IKT-Risikomanagement. Die Verantwortung für dessen Umsetzung trägt wiederum das Leitungsorgan des Finanzunternehmens. Schwerwiegende IKT-bezogene Vorfälle sind der BaFin zu melden. Schwachstellen sollen durch das Testen der digitalen operationalen Resilienz erkannt werden. Darüber hinaus enthält der DORA zahlreiche Regelungen, um Risiken, die für Finanzunternehmen im Zusammenhang mit der Nutzung von IKT-Dienstleistungen entstehen können, zu mitigieren.

Bis Juli 2024 werden die Regelungen durch die Europäischen Aufsichtsbehörden (European Supervisory Authorities (ESA)) noch konkretisiert. Zudem gilt es die nationalen Umsetzungsbestrebungen zu der flankierenden Richtlinie 2022/2556 im Auge zu behalten. Das BMF hat hierzu zuletzt am 23. Oktober 2023 einen Referentenentwurf veröffentlicht.

CMS Blog-Serie DORA
Die Blog-Serie befasst sich mit den sich aus DORA ergebenden Pflichten...

Autor:in

Michael Biendl
Dr. Michael Biendl
Counsel
Rechtsanwalt
München
Theresa Lenger
Theresa Lenger, LL.M.
Senior Associate
Rechtsanwältin
Hamburg
06/12/2023
2024 - Themen, die Sie bewegen werden
Das Jahr 2023 hat die Welt in besonderem Maße bewegt. Die Zunahme regionaler Krisen und Kriege sowie eine instabile wirtschaftliche Lage haben uns allen viel abverlangt. In diesen herausfordernden Zeiten gilt es besonders, vorausschauend zu handeln und den Realitäten mit Augenmaß zu begegnen, um sich auch im Jahr 2024 erfolgreich behaupten zu können. Besonders hervorzuheben ist hierbei die zukünftige Ausrichtung unseres Handelns. Künstliche Intelligenz ist mittlerweile allgegenwärtig und stellt uns vor die Frage nach einem adäquaten und un­ter­neh­mer­freund­li­chen Rechtsrahmen. In Zeiten geopolitischer Spannungen wird Cybersicherheit mehr denn je essenzieller Bestandteil jeder Un­ter­neh­mens­stra­te­gie bleiben müssen, Datenschutz und ver­ant­wor­tungs­be­wuss­te Tech­no­lo­gie­nut­zung sind Schlüs­sel­fak­to­ren für geschäftlichen Erfolg. Themen wie die Umsetzung der globalen Min­dest­be­steue­rung in Deutschland und die Beschleunigung von Ge­neh­mi­gungs­ver­fah­ren bei In­fra­struk­tur­pro­jek­ten werden Unternehmen auch im kommenden Jahr weiter be­schäf­ti­gen. Die­se Her­aus­for­de­run­gen sind zweifellos anspruchsvoll, bergen jedoch auch erhebliches Potenzial. Mut machen die Prognosen der Wirt­schafts­for­schen­den. So rechnet das DIW für das kommende Jahr wieder mit einem leichten Wirt­schafts­wachs­tum von 1,2 Prozent. Zeit also, verlorene Zuversicht wieder zu­rück­zu­ge­win­nen. Gerade in Zeiten globaler Her­aus­for­de­run­gen ist es von entscheidender Bedeutung, nicht nur wirtschaftliche Verantwortung zu tragen, sondern auch aktiv dazu beizutragen, den ge­sell­schaft­li­chen Zusammenhalt zu stärken und die Demokratie zu verteidigen. Gemeinsam spielen wir eine bedeutende Rolle als Sta­bi­li­täts­fak­to­ren in der Gesellschaft, indem wir soziale Verantwortung übernehmen und uns für eine gerechte und inklusive Entwicklung sowie den Schutz demokratischer Werte einsetzen. Zeit also, die Weichen zu stellen. Mit Mut und un­ter­neh­me­ri­scher Weitsicht. Im Jahr 2024 stehen wir Ihnen selbst­ver­ständ­lich mit unserer breiten Expertise zur Seite, um Sie aktiv bei der Bewältigung dieser umfassenden Her­aus­for­de­run­gen zu unterstützen. Einen Überblick über die wichtigsten Themen des kommenden Jahres haben wir wie gewohnt für Sie zu­sam­men­ge­stellt. Wir freuen uns darauf, gemeinsam mit Ihnen die Chancen und Her­aus­for­de­run­gen anzugehen, und danken Ihnen einmal mehr für die erfolgreiche Zusammenarbeit. Gemeinsam können wir viel erreichen – wirtschaftlich, rechtlich und ge­sell­schaft­lich. 
Veröffentlichung

Tätigkeitsbereiche

TMC - Technology, Media & Communications Datenschutzrecht & Recht der IT-Sicherheit IT-Recht

Kontakt

Bei Fragen nehmen Sie gerne Kontakt zu uns auf!

Kontakt
Zurück 18 / 25 Weiter