Die europäische NIS2-Richtlinie, die DORA-Verordnung und das neue Cybersicherheitsgesetz

Cybersicherheit ist heute eines der wichtigsten Themen. Die Cyberkriminalität ist auf dem Vormarsch und wird inzwischen oft als drittgrößter Wirtschaftszweig der Welt bezeichnet (der durch Cyberangriffe verursachte Schaden wird für das Jahr 2025 auf 10,5 Billionen Dollar geschätzt, was mehr ist als der durch Naturkatastrophen verursachte Schaden in einem ganzen Jahr). Aus diesem Grund sind etwa 50 % der Unternehmen auf dem tschechischen Markt derzeit nicht gegen Cyberrisiken versicherbar. Die Zeit schreitet sehr schnell voran, und es ist notwendig, die „digitale Wettbewerbsfähigkeit“ des europäischen Raums aufrechtzuerhalten.

 

Auf Grundlage dieser Tatsachen hat die Europäische Union die neue NIS2- Richtlinie erlassen, die den Schutz des digitalen Raums stärkt. Diese Richtlinie erweitert und verschärft die Vorschriften für Organisationen, die wesentliche Dienstleistungen erbringen - vom Gesundheitswesen über den Verkehr bis hin zur Energieversorgung. Sie soll sicherstellen, dass die europäischen Länder besser in der Lage sind, sich gegen Cyberangriffe zu verteidigen und auf potenzielle Bedrohungen vorbereitet zu sein.

 

Die Tschechische Republik reagiert auf diese Richtlinie mit einem brandneuen Gesetz zur Cybersicherheit. Mit diesem neuen Rechtsakt wird die europäische Richtlinie vollständig in das tschechische Rechtssystem übernommen. Im Vergleich zur bisherigen Regelung gilt das Gesetz nicht nur für große Unternehmen und staatliche Einrichtungen, sondern auch für kleinere Unternehmen, die für das Funktionieren des Staates wichtig sind. Von den derzeit etwa 400 betroffenen Unternehmen wird sich die Zahl der betroffenen Unternehmen allein in der Tschechischen Republik auf 6 000 bis 10 000 erhöhen. Die breite Streuung der betroffenen Einrichtungen ist vor allem auf die Selbstbestimmungspflicht zurückzuführen, deren Nichteinhaltung sehr streng geahndet wird. Darüber hinaus wird sich die Richtlinie nicht nur auf die direkt betroffenen Unternehmen auswirken, sondern auch auf deren Zulieferer und Lieferketten.

 

Die neuen Vorschriften bringen mehrere wichtige Änderungen mit sich. Unternehmen müssen ihre Netze und Daten besser schützen, Cyber-Vorfälle melden und ihre Lieferanten sorgfältiger überprüfen. Vernachlässigt ein Unternehmen die Sicherheitsmaßnahmen, drohen ihm sehr hohe Strafen, in manchen Fällen bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes, je nachdem, welcher Betrag höher ist.

 

Das Gesetz hat bereits die Regierung passiert und wartet nun auf die endgültige Genehmigung. Wenn alles nach Plan läuft, wird sie im Sommer 2025 starten. Für die Unternehmen bedeutet dies, dass sie sich so bald wie möglich auf die neuen Verpflichtungen vorbereiten sollten. Der Schlüssel zum Erfolg liegt nicht nur in der Umsetzung technischer Maßnahmen, sondern auch in der Schulung der Mitarbeiter und der Festlegung klarer Sicherheitsregeln.

 

Parallel dazu hat der europäische Gesetzgeber auch die DORA-Verordnung erlassen, die die NIS2-Richtlinie leicht abändert und ergänzt und sich direkt an den Finanzsektor richtet (Banken, Versicherungen, Versicherungsvermittler, Cloud-Service-Anbieter für Finanzinstitute usw.).

 

Das europäische DORA-Gesetz ist bereits eine direkte Verordnung, was bedeutet, dass es in allen Mitgliedstaaten unmittelbar anwendbar ist (im Gegensatz zur NIS2-Richtlinie, die durch tschechisches Recht in nationales Recht umgesetzt werden muss). Die DORA zielt darauf ab, die Widerstandsfähigkeit von Finanzinstituten gegenüber Cyber-Bedrohungen zu gewährleisten, insbesondere durch die Festlegung strenger Anforderungen an das Risikomanagement, die Prüfung der Widerstandsfähigkeit von IT-Systemen und die Meldung von Sicherheitsvorfällen.

 

Die NIS2-Richtlinie, die DORA-Verordnung und das neue Cybersicherheitsgesetz sind wichtige Schritte hin zu einem sichereren digitalen Umfeld. Obwohl sie strengere Regeln einführen, besteht ihr Hauptziel darin, Unternehmen, Institutionen und normale Bürger vor immer häufigeren Cyberangriffen zu schützen.

 

Wollen Sie sichergehen, dass Sie von Cyberrisiken nicht überrascht werden? Kontaktieren Sie uns, wir helfen Ihnen gerne bei der Bewertung Ihres aktuellen internen Sicherheitsniveaus und der Zusammenstellung des passenden Versicherungsprogramms.