Die NIS-2-Richtlinie ist am 16.01.2023 in Kraft getreten. Bis Oktober 2024 müssen die Mitgliedstaaten diese in nationales Recht überführen. Seit Juli 2023 existiert dazu ein Referentenentwurf des Bundesinnenministeriums.
Die Richtlinie erweitert die Cybersicherheitsanforderungen und die Sanktionen und enthält strengere Anforderungen für verschiedene Sektoren. Dazu gehören unter anderem auch die öffentliche Verwaltung sowie der Bereich Abfallentsorgung. Versorgungsunternehmen unterfielen schon der NIS1 Richtlinie und damit der KRITIS.
Es sind Bußgelder bis zu EUR 10 Mio. sowie eine persönliche Haftung der obersten Vertretungsorgane/Geschäftsführungen/Vorstände vorgesehen.
Die Richtlinie betrifft auch kleinere Institutionen. Sofern die Mitarbeiteranzahl 50 überschritten wird, reicht ein Jahresumsatz von mehr als EUR 10 Mio. bzw. eine Bilanzsumme von mehr als EUR 43 Mio.
Nähere Informationen sind der beigefügten Übersicht zu entnehmen. Die Einhaltung der geforderten Standards wird aus unserer Sicht aber dazu führen, dass man den Anforderungen der Versicherungswirtschaft zur Erlangung von Versicherungsschutz in Cyberwirtschaft gerecht wird (sofern dies in der Vergangenheit noch nicht der Fall war).