Welche Änderungen bringt die neue EU-Richtline für die Cybersicherheit?
Die neue EU-Richtlinie für Cybersicherheit, bringt eine Reihe von Änderungen und erweiterten Anforderungen mit sich. Hier sind die wichtigsten Punkte zusammengefasst:
1. Erweiterter Anwendungsbereich: Gilt sowohl für private als auch für öffentliche Organisationen.
2. Neue Anforderungen für Organisationen: Auch kleinere Unternehmen werden zur Umsetzung von weiteren Informationssicherheitsmaßnahmen verpflichtet. Die genauen Kriterien für betroffene Unternehmen basieren auf Schwellenwerten wie Mitarbeiterzahl, Jahresumsatz und Jahresbilanz.
3. Neue Kategorisierung von Organisationen: Unternehmen werden in "wesentliche" und "wichtige" Einrichtungen eingeteilt.
4. Die Mitgliedstaaten müssen nationale Cybersicherheitsstrategien entwickeln, den Lieferkettenschutz stärken und koordinierte Offenlegungen von Schwachstellen fördern. Es müssen Computer-Notfallteams gebildet werden, und die Zusammenarbeit im Europäischen Netzwerk der Verbindungsorganisationen für Cyberkrisen wird gefördert.
5. Unternehmen müssen Maßnahmen zur Cybersicherheit billigen und kontinuierlich überwachen. Es müssen angemessene technische und organisatorische Maßnahmen (TOMs) gemäß dem Stand der Technik und dem individuellen Risiko umgesetzt werden.
6. Bei Verstößen gegen das Gesetz können Geldbußen bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes für wesentliche Einrichtungen und bis zu 7 Mio. Euro oder 1,4% des weltweiten Jahresumsatzes für wichtige Einrichtungen verhängt werden.
Die Umsetzungsfrist für die Mitgliedstaaten läuft bis zum 17.10.2024. Voraussichtlich wird es einen ähnlichen Einfluss auf Unternehmen haben wie die Einführung der Datenschutz-Grundverordnung.