Strafen und Konsequenzen bei Nichteinhaltung von
NIS 2

Strafen und Konsequenzen bei Nichteinhaltung von NIS 2

Die NIS 2 Richtlinie schafft einen robusten Durchsetzungsrahmen mit erheblichen Strafen für Organisationen, die ihre Anforderungen nicht einhalten. Die Richtlinie ermächtigt nationale Behörden, sowohl finanzielle als auch nicht-finanzielle Sanktionen gegen wesentliche und wichtige Unternehmen zu verhängen, die gegen die Cybersicherheitsvorschriften verstoßen.

Finanzielle Strafen
Die NIS 2 Richtlinie legt klare Richtlinien für die maximalen Geldstrafen fest, die erhoben werden können:

Für wesentliche Unternehmen beträgt die Höchststrafe 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes der Organisation, je nachdem, welcher Betrag höher ist.

Für wichtige Unternehmen beträgt die Höchststrafe 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes der Organisation, je nachdem, welcher Betrag höher ist.

Diese Bußgelder sind so hoch angesetzt, dass sie eine abschreckende Wirkung haben und Unternehmen einen Anreiz bieten, alle notwendigen Schritte zu unternehmen, um die Einhaltung der Vorschriften sicherzustellen.Nicht-finanzielle Sanktionen
Neben finanziellen Strafen können nationale Behörden auch eine Reihe nicht-monetärer Sanktionen gegen Unternehmen verhängen, die sich nicht an die Vorschriften halten, darunter:

Compliance-Anordnungen, die die Organisation dazu verpflichten, den Verstoß zu beheben.

Verbindliche Anweisungen zu konkreten Sicherheitsmaßnahmen, die umgesetzt werden müssen.

Obligatorische Sicherheitsüberprüfungen

Anordnungen zur Benachrichtigung der Kunden über mögliche Risiken

Vorübergehende Verbote der Erbringung von Dienstleistungen oder Aktivitäten

Persönliche Haftung für Manager
Die NIS 2 Richtlinie führt auch neue Maßnahmen ein, um die Geschäftsführung persönlich für Cybersicherheitsmängel zur Verantwortung zu ziehen. Wenn nach einem Cybervorfall grobe Fahrlässigkeit festgestellt wird, können die Behörden:

Von der Organisation fordern, den Compliance-Verstoß öffentlich bekannt zu geben

Öffentliche Erklärungen mit Namen der verantwortlichen Personen veröffentlichen

Für systemrelevante Unternehmen: Bestimmten Managern vorübergehend verbieten, Führungspositionen zu bekleiden.

Diese Bestimmungen sollen sicherstellen, dass die Cybersicherheit auf den höchsten Ebenen der Organisation höchste Priorität hat und nicht nur ein Anliegen der IT-Abteilung ist.Die Schwere der Strafen im Rahmen von NIS 2 unterstreicht das Engagement der Europäischen Union, die Cybersicherheitsstandards und die Widerstandsfähigkeit in der gesamten Region zu verbessern. Organisationen, die nicht die notwendigen Schritte unternehmen, um die Anforderungen der Richtlinie zu erfüllen, laufen Gefahr, erhebliche finanzielle und reputationsbasierte Schäden zu erleiden.