An diese Gesetze sollten sich Unternehmen halten

Deutschland versucht seit Jahren die Cybersicherheit seiner Unternehmen zu stärken, indem es Gesetze formuliert. Viele Führungskräfte in den Betrieben wissen allerdings nicht, dass bei Nichtbeachtung Strafen fällig werden können. Welche das sind, hat der Backup- und Disaster-Recovery-Anbieter SEP gemeinsam mit einem Rechtsanwalt zusammengefasst.

Die Datenschutzgrundverordnung (DSGVO), das neue Cyber- und IT-Sicherheitsrecht gemäß der NIS2-Richtlinie und der EU-Cyber Resilience Act (CRA) sind in der Welt von Recht und Gesetz die Vorgaben, die den Datenschutz verbessern sollen. So weit, so gut.

KMU nehmen Gesetze nicht ernst

Viele Unternehmen, gerade KMU, nehmen die Vorgaben aber nicht ganz so ernst, was ihnen einige Schwierigkeiten machen könnte. Dr. Jens Bücking, Fachanwalt für IT-Recht, klärt auf.

Seit 2018 existiert die DSGVO. Sie soll ein einheitliches Datenschutzgesetz in Europa abbilden. Unter anderem gehören technische Vorschriften zu diesem Gesetz. Es geht vor allem um alle Behörden und Unternehmen, die private Daten sammeln, verarbeiten und speichern. Wer sich nicht daran hält, dem drohen im Fall einer Haftung Geld- und Freiheitsstrafen von bis zu drei Jahren sowie Schadensersatzzahlungen. Die Bußgelder werden anhand des weltweiten Konzernumsatzes berechnet. Im schlimmsten Fall kann sogar der Betrieb stillgelegt werden.

Geldbußen bis zu 15 Millionen

Schon 2022 tauchte der CRA auf. Nach 24 Monaten Übergangsfrist, betrifft das Gesetz alle Akteure der Lieferkette. Selbst die kleinsten Verstöße werden geahndet. Der CRA soll die Digitalgesetzgebung Europas optimieren und den Lebenszyklus des Produktes regeln. Die Geldbußen können bis zu 15 Millionen Euro hochgehen. 35 Prozent des weltweiten Jahresumsatzes im vorausgegangenen Geschäftsjahr des Unternehmens werden sicher eingezogen. Gesetzesbrecher müssen aber mindestens fünf Millionen Euro abdrücken, beziehungsweise ein Prozent des Jahresumsatzes.

Die NIS2-Richtlinie (EU-Cybersecurity-Richtlinie) betrifft KRITIS-Unternehmen. Sie muss bis zum 17. Oktober 2024 umgesetzt werden. Das ist für die betroffenen Betriebe mit Zusatzkosten verbunden. Trotzdem bleibt keine andere Wahl, denn im Schadensfall werden maximal zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes eingezogen. Die NIS2-Richtlinie enthält neben den Cybersicherheitsmaßnahmen einen Maßgabenkatalog zur Zertifizierung kritischer Komponenten. Außerdem gehört die Pflicht dazu, bei IT-Sicherheitsvorfällen zu berichten.

Dienste könnten gesperrt werden

Anwalt Bücking sagte dem IT-Business-Magazin, dass Betreiber kritischer Infrastrukturen nach dem Gesetz zufolge „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen, die für die Funktionsfähigkeit der von ihnen betriebenen KRITIS (…) maßgeblich sind.“

Bei Verstoß geht es um Geldbußen zwischen 50.000 und 100.000 Euro. Die Strafen für geschäftsmäßige Internetdienste wurden verschärft. Dann drohen Bußgelder bis zu 20 Millionen Euro. Es kann auch dazu kommen, dass Dienste untersagt oder gesperrt werden.

Gesetz soll Schutzniveau stärken

Und dann ist da noch das KRITIS-Dachgesetz. Im Bereich der physischen Sicherheit und Cybersicherheit gibt das Gesetz kritischen Einrichtungen Mindestvorgaben vor, damit das Schutzniveau und die Resilienz gestärkt werden. Brücking: „Wie das IT-Sicherheitsgesetz erhält auch das KRITIS-Dachgesetz ein Meldesystem. Für die Durchsetzung gilt analog der Sanktionenkatalog der NIS2-Richtlinie und der DSGVO. Die Strafen müssen hiernach wirksam, verhältnismäßig und abschreckend sein.“ Das Gesetz, das 2024 in Kraft treten soll, nimmt eine Erweiterung der KRITIS auf mindestens elf Sektoren vor.

Stefan Lanz

Autor:
Stefan Lanz
Ich bin IT-Experte für Digitale Transformation, Daten- und IT-Sicherheit. Ich bin IT-Sicherheitsbeauftragter, IT-Sachverständiger, Datenschützer, Coach und Berater für Unternehmen seit 1995. Mehr zu mir finden Sie hier.