CYBERSECURITY-GESETZE: MISSACHTUNG WIRD TEUER

Next Article

Viewsonic lud zum kultigen Partnertreff

DSGVO, NIS2 und der EU-Cyber Resilience Act (CRA) sollen den Datenschutz sicherstellen. Dennoch hat ein Drittel der KMU keinen Plan, welche Konsequenzen eine Missachtung hat. Ein Whitepaper von SEP in Kooperation mit einem Rechtsanwalt klärt auf.

Cybersicherheitsgesetze wie die DSGVO, das neue Cyber- und IT-Sicherheitsrecht gemäß der NIS2-Richtlinie, eine EU-Cybersecurity-Richtlinie sowie der EU-Cyber Resilience Act (CRA) sollen den Datenschutz verstärken. Doch vor allem bei kleinen und mittelständischen Unternehmen hapert es mit der Umsetzung. Ihnen ist oft nicht bewusst, mit welchen Konsequenzen sie bei Nichtbeachtung rechnen müssen. In welche Haftungsfallen KMU tappen können und was für Strafen fällig werden, hat Dr. Jens Bücking, Rechtsanwalt und Fachanwalt für IT-Recht, gemeinsam mit dem Backup- und Disaster-RecoveryAnbieter SEP herausgearbeitet.

Die DSGVO ergänzt das im Jahr 2021 überarbeitete deutsche IT-Sicherheitsgesetz von 2015 und die Richtlinien der EU für ein einheitliches Datenschutz- / Datensicherheitsrecht in Europa. Sie enthält unter anderem technische Vorschriften, die ein entsprechendes Schutzniveau gewährleisten müssen. Betroffen sind alle privatwirtschaftlichen Unternehmen sowie Behörden, die private Daten sammeln, verarbeiten und speichern. Werden die Vorgaben nicht ordnungsgemäß umgesetzt, drohen den Verantwortlichen im Haftungsfall zivilrechtliche und öffentlich-rechtliche Sanktionen wie Geld- und Freiheitsstrafen (bis zu drei Jahre), Schadenersatzzahlungen sowie Ordnungsmaßnahmen, die bis zur Stilllegung des Betriebs führen können. Berechnet werden die Bußgelder anhand des weltweiten Konzernumsatzes.

Die EU-Cybersecurity-Richtlinie, die so genannte NIS2-Richtlinie, betrifft KRITISUnternehmen. Neben dem Katalog an Cybersicherheitsmaßnahmen enthält sie auch einen Maßgabenkatalog zur Zertifizierung kritischer Komponenten, ebenso wie Berichtspflichten bei IT-Sicherheitsvorfällen und mögliche Bußgelder bei Verstößen. Umzusetzen ist sie bis zum 17. Oktober 2024. Für die betroffenen Unternehmen ist das mit mehr Kosten verbunden. Im Schadensfall fällige Geldbußen können allerdings deutlich höher sein: maximal zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Betreiber kritischer Infrastrukturen müssen dem Gesetz zufolge „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen, die für die Funktionsfähigkeit der von ihnen betriebenen KRITIS [...] maßgeblich sind“, erklärt Brücking. Anforderungsmaßstab sei der jeweilige Stand der Technik. Je nach Schwere des Verstoßes kann das BSI Geldbußen zwischen 50.000 und 100.000 Euro ansetzen. Für geschäftsmäßige Internetdienste wurden die IT-sicherheitsspezifischen Vorgaben und Strafen verschärft. Insgesamt drohen bei Sicherheitsvorfällen Bußgelder bis zu 20 Millionen Euro. Zudem kann das BSI die Dienste untersagen oder sperren.

Das KRITIS-Dachgesetz gibt kritischen Einrichtungen Mindestvorgaben im Bereich der physischen und Cyber-Sicherheit an die

Hand. Diese sollen deren Schutzniveau und Resilienz stärken. „Wie das IT-Sicherheitsgesetz erhält auch das KRITIS-Dachgesetz ein Meldesystem“, erläutert Brücking. „Für die Durchsetzung gilt analog der Sanktionenkatalog der NIS2-Richtlinie und der DSGVO. Die Strafen müssen hiernach wirksam, verhältnismäßig und abschreckend sein.“ Außerdem nimmt das Gesetz eine Erweiterung der KRITIS auf mindestens elf Sektoren vor. Das Gesetz soll im Jahr 2024 in Kraft treten.

Der Cyber Resilience Act (CRA) wurde bereits am 13. September 2022 von der EU vorgestellt. Er soll eine Lücke in der europäischen Digitalgesetzgebung schließen und den Produktlebenszyklus regeln. Werden die Ziele nicht eingehalten, drohen Geldbußen bis maximal 15 Millionen Euro beziehungsweise bis zu 35 Prozent des gesamten weltweiten Jahresumsatzes im vorausgegangenen Geschäftsjahr. Auch geringfügigere Verstöße werden geahndet: mindestens fünf Millionen Euro beziehungsweise ein Prozent des entsprechenden Jahresumsatzes werden fällig. Nach der Übergangsfrist von 24 Monaten betrifft das Gesetz alle Akteure der Lieferkette.

Zum Whitepaper: www.it-business.de/ SEP-Whitepaper/

Autor: Ira Zahorsky