(6) Die Mitgliedstaaten stellen sicher, dass jede natürliche Person, die für eine wesentliche Einrichtung verantwortlich ist oder auf der Grundlage ihrer Vertretungsbefugnis, der Befugnis, im Namen der Einrichtung Entscheidungen zu treffen, oder ihrer Kontrollbefugnis über die Einrichtung als Vertreterin der wesentlichen Einrichtung handelt, befugt ist zu gewährleisten, dass die Einrichtung diese Richtlinie erfüllt.
Die Mitgliedstaaten stellen sicher, dass diese natürlichen Personen für Verstöße gegen ihre Pflichten zur Gewährleistung der Einhaltung dieser Richtlinie haftbar gemacht werden können. Für Einrichtungen der öffentlichen Verwaltung gilt dieser Absatz unbeschadet der nationalen Rechtsvorschriften über die Haftung von öffentlichen Bediensteten und von gewählten oder ernannten Amtsträgern.
Der Artikel 32 Absatz 6 der NIS2-Richtlinie legt die Verantwortlichkeit und Haftung von natürlichen Personen fest, die für wesentliche Einrichtungen verantwortlich sind, um sicherzustellen, dass die Einrichtung die NIS2-Richtlinie erfüllt. Wesentliche Einrichtungen umfassen Unternehmen unteranderem aus den Bereichen Energie, Verkehr, Banken und Finanzen, Gesundheitswesen, Wasserversorgung und digitale Infrastrukturen. Die natürliche Person, die für eine wesentliche Einrichtung verantwortlich ist, muss sicherstellen, dass die Einrichtung geeignete Maßnahmen zur Verhinderung und Abwehr von Cyberangriffen ergreift, um die Netzwerk- und Informationssicherheit zu gewährleisten. Ferner muss sie sicherstellen, dass die Einrichtung ein geeignetes Sicherheitsniveau erreicht, indem sie Risikobewertungen durchführt, geeignete technische und organisatorische Maßnahmen ergreift und die Einhaltung der Richtlinie überwacht. Darüber hinaus stellt Artikel 32 Absatz 6 NIS2 sicher, dass diese natürlichen Personen für Verstöße gegen ihre Pflichten zur Gewährleistung der Einhaltung der Vorgaben persönlich haftbar gemacht werden können.
Wesentliche Einrichtungen sind gemäß Artikel 3 Absatz 1 der NIS2-Richtlinie alle Einrichtungen der in Anhang I aufgeführten Art, die die in Artikel 2 Absatz 1 des Anhangs der Empfehlung 2003/361/EG genannten Schwellenwerte für mittlere Unternehmen überschreiten. Die „wesentliche Einrichtungen“ umfassen folgende Branchen und Sektoren:
Energie*
Elektrizität*
Elektrizitätsunternehmen*
Verteilernetzbetreiber*
Übertragungsnetzbetreiber*
Erzeuger*
nominierte Strommarktbetreiber*
Marktteilnehmer*
Betreiber von Ladepunkten*
Fernwärme und -kälte*
Erdöl*
Betreiber von Erdöl-Fernleitungen*
Betreiber von Anlagen zur Produktion, Raffination und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern*
zentrale Bevorratungsstellen*
Erdgas*
Versorgungsunternehmen*
Verteilernetzbetreiber*
Fernleitungsnetzbetreiber*
Betreiber einer Speicheranlage*
Betreiber einer LNG-Anlage*
Erdgasunternehmen*
Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas*
Wasserstoff*
Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung*
Verkehr*
Luftverkehr*
Luftfahrtunternehmen*
Flughafenleitungsorgane*
Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen, die Flugverkehrskontrolldienste*
Schienenverkehr*
Infrastrukturbetreiber*
Eisenbahnunternehmen*
Schifffahrt*
Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt*
Leitungsorgane von Häfen*
Betreiber von Schiffsverkehrsdiensten*
Straßenverkehr*
Straßenverkehrsbehörden*
Betreiber intelligenter Verkehrssysteme*
Bankwesen*
Kreditinstitute*
Finanzmarktinfrastrukturen*
Betreiber von Handelsplätzen*
zentrale Gegenparteien*
Gesundheitswesen*
Gesundheitsdienstleister*
EU-Referenzlaboratorien*
Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel*
Einrichtungen, die pharmazeutische Erzeugnisse*
Einrichtungen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch [...]*
Trinkwasser*
Abwasser*
Digitale Infrastruktur*
Betreiber von Internet-Knoten*
DNS-Diensteanbieter*
TLD-Namenregister*
Anbieter von Cloud-Computing-Diensten*
Anbieter von Rechenzentrumsdiensten*
Betreiber von Inhaltszustellnetzen*
Vertrauensdiensteanbieter*
Anbieter öffentlicher elektronischer Kommunikationsnetze*
Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste*
Verwaltung von IKT-Diensten (Business-to-Business)*
Anbieter verwalteter Dienste*
Anbieter verwalteter Sicherheitsdienste*
öffentliche Verwaltung*
Einrichtungen der öffentlichen Verwaltung von Zentralregierungen*
Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene*
Weltraum*
Betreiber von Bodeninfrastrukturen*
*Exakte Definition: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L2555&qid=1678197629753&from=en#d1e32-143-1 Ferner gelten gemäß NIS2 folgende Akteure und Sektoren als „wichtige Sektoren“:
Post- und Kurierdienste**
Abfallbewirtschaftung**
Produktion, Herstellung und Handel mit chemischen Stoffen**
Produktion, Verarbeitung und Vertrieb von Lebensmitteln**
Verarbeitendes Gewerbe/Herstellung von Waren**
Herstellung von Medizinprodukten und In-vitro-Diagnostika**
Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen**
Herstellung von elektrischen Ausrüstungen**
Maschinenbau**
Herstellung von Kraftwagen und Kraftwagenteilen**
sonstiger Fahrzeugbau**
Anbieter digitaler Dienste**
Online-Marktplätzen**
Online-Suchmaschinen**
Plattformen für Dienste sozialer Netzwerke**
Forschung (Forschungseinrichtungen)**
**Exakte Definition: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L2555&qid=1678197629753&from=en#d1e32-148-1 Auf der Website www.openkritis.de finden Sie weitere Informationen zur neuen Direktive und den davon betroffenen Unternehmen:
EU NIS2 ist der europäische Rahmen für Betreiber Kritischer Infrastrukturen und legt Cyber Security Mindeststandards in der EU fest. NIS2 (EU 2022/2555) erweitert die Betroffenheit und Pflichten deutlich – ab 2024 müssen viele Unternehmen in 18 Sektoren ab 50 Mitarbeitern und 10 Mio. EUR Umsatz Cyber Security umsetzen.
NIS 2 löst die bisherige NIS-Direktive ab und ist seit 2023 in Kraft, nach langen Verhandlungen in der EU. EU-Staaten müssen NIS2 bis Oktober 2024 in nationales Recht überführen, in Deutschland möglicherweise mit dem IT-Sicherheitsgesetz 3.0; parallel dazu reguliert EU RCE/CER ab 2023 Resilienz bei Betreibern.
