MANAGEMENT AUFGEPASST:
Neues litauisches Cybersicherheits-Gesetz legt der Unternehmensleitung eine hohe Verantwortung und Haftung auf
1. Heute tritt das geänderte litauische Cybersicherheits-Gesetz in Kraft
Das geänderte Gesetz setzt die NIS-2-Richtlinie zur Cybersicherheit für Litauen um und legt bestimmten Unternehmen strenge Cybersicherheitsanforderungen auf.
2. Wofür steht dieses geheimnisvolle „NIS-2“?
„NIS-2“ steht für die Richtlinie zur Netz- und Informationssicherheit der Europäischen Union aus dem Jahr 2022 und zielt auf einen sichereren Geschäftsbetrieb von Unternehmen einer bestimmten Größe ab, welche Bedeutung für das nationale Wirtschaftssystem und die nationale Sicherheit haben.
3. Ist es für mich wichtig, das zu wissen?
Prüfen Sie, ob Ihr Unternehmen von den NIS-2-Anforderungen zur Cybersicherheit in Litauen betroffen sein könnte.
4. Welche Unternehmen sind von NIS-2 betroffen?
In NIS-2 wird zwischen zwei Typen von Unternehmen unterschieden: (i) wesentliche und (ii) wichtige Unternehmen, je nach Größe und Sektor, in dem sie tätig sind.
Besonders betroffene Sektoren sind:
- Energie
- Transport
- Bankwesen
- Infrastruktur der Finanzmärkte
- Gesundheit
- Trinkwasser, Abwasser
- digitale Infrastruktur
- ausgelagerte IKT-Dienstleistungen
- öffentliche Verwaltung, oder
- weltraumgestützte Dienste.
Aber auch Unternehmen, die auf den Gebieten:
- Post- und Kurierdienste
- Abfallwirtschaft
- Herstellung und Handel mit Chemikalien
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Herstellung von:
- Medizinprodukten und In-vitro-Diagnostika
- Computern, elektronischen und optischen Produkten
- elektrischer Ausrüstung
- Maschinen und Geräten, die nicht anderweitig genannt sind
- Kraftfahrzeugen, Anhängern und Sattelanhängern, oder
- anderen Verkehrsmitteln
tätig sind, stehen im Mittelpunkt von NIS-2.
Prüfen Sie im Detail, ob Ihr Unternehmen die Anforderungen des neuen Cybersicherheits-Gesetzes erfüllen muss, wenn es:
- mehr als 50 Beschäftigte besitzt;
- einen Jahresnettoumsatz von mehr als 10 Millionen Euro hat und
- in einem der vorgenannten Sektoren tätig ist.
5. Unternehmen in der Lieferkette: Mein Unternehmen ist nicht so groß oder nicht direkt in einem der Sektoren tätig, aber es beliefert eines der NIS-2-Unternehmen …
Falls Ihre Kunden oder Geschäftspartner als wichtige oder wesentliche NIS-2-Unternehmen eingestuft werden, müssen sie die Cybersicherheit ihrer Lieferkette gewährleisten. Daher müssen deren neue Cybersicherheitsmaßnahmen bis zu einem gewissen Grad auch in Ihrem Unternehmen umgesetzt werden, wenn Sie in Zukunft mit diesen zusammenarbeiten möchten. Wahrscheinlich muss auch Ihr Unternehmen bis zu einem gewissen Grad die NIS-2-Vorschriften einhalten und vertragliche Garantien dafür abgeben.
Dies ist besonders wichtig im Rahmen des öffentlichen Auftragswesens.
6. Mein Unternehmen ist bereits nach ISO 27001 zertifiziert. Darf ich mich darauf ausruhen?
Bitte beachten Sie, dass selbst wenn Ihr Unternehmen nach ISO 27001 zertifiziert ist, dies nur etwa 70 % der NIS-2-Anforderungen abdeckt. Daher ist eine Analyse dessen erforderlich, was darüber hinaus benötigt wird.
7. Was muss ich zuerst tun?
- Verstehen, ob Ihr Unternehmen von NIS-2 betroffen sein könnte – Setzen Sie sich mit uns in Verbindung. Wir werden Ihnen helfen, sich zu orientieren.
- Wenn Sie betroffen sein könnten – überprüfen Sie Ihren Status Quo in Sachen Cybersicherheit – gemeinsam mit unserem Kooperationspartner Centric IT Solutions erstellen wir eine Bestandsaufnahme und helfen Ihnen, zu erfahren, wo Ihr Unternehmen derzeit steht.
- Planen Sie die Umsetzung der NIS-2-Anforderungen – wir unterstützen Sie dabei, welche Ihrer Abteilungen und Operationen in den weiteren Prozess einbezogen werden sollen.
- Erhalten Sie Eingangsschulungen für das Management und die leitenden Angestellten Ihres Unternehmens, um das Bewusstsein zu schärfen – zusammen mit Centric IT Solutions unterstützen wir Sie bei der Schärfung des Bewusstseins für Cybersicherheit, indem wir Sie über NIS-2-Prozesse und -Risiken aufklären.
8. Warum sollte ich NIS-2 ernst nehmen?
Anders als die ISO 27001 sehen das litauische Cybersicherheitsgesetz sowie die NIS-2 der EU nicht nur hohe Geldstrafen, sondern auch andere Sanktionen für den Betrieb und das Management von Unternehmen vor.
Je nachdem, ob Ihr Unternehmen wesentlich oder wichtig ist, belaufen sich die möglichen Strafen auf bis zu 7 Mio./10 Mio. EUR oder 1,4%/2% des weltweiten Jahresumsatzes.
Darüber hinaus können gegen den Geschäftsführer des Unternehmens nach litauischem Recht Geldbußen verhängt werden.
Bei schwerwiegenden Verletzungen der Cybersecurity können litauische Gerichte die Geschäftstätigkeit wesentlicher Unternehmen vorübergehend aussetzen und Führungskräfte vorübergehend ihrer Funktionen entheben.
9. Wie können wir Sie unterstützen?
Unsere Spezialisten von bnt attorneys in CEE in Vilnius stehen Ihnen jederzeit zur Verfügung, wenn Sie sich Klarheit darüber verschaffen möchten, ob Ihr Unternehmen tiefer in die NIS-2 Regulierung einsteigen muss und wie Sie den Prozess am effektivsten starten.
Wir arbeiten eng mit Centric IT Solutions zusammen, welche sich auf die technische Umsetzung von NIS-2 fokussieren.
Hierdurch können Sie sich sowohl für die juristische als auch für die technische Beratung an nur einen Ansprechpartner wenden. Wir koordinieren für Sie beide Bereiche, wodurch sich Ihr Aufwand im Umgang mit separaten technischen und juristischen Dienstleistern verringert.
Gerne vereinbaren wir mit Ihnen ein gemeinsames Gespräch (online oder persönlich), um konkrete, auf Ihr Unternehmen zugeschnittene Schritte und Maßnahmen zu besprechen.
Folgen Sie uns auf unserem LinkedIn-Profil:
Link, um ständig über Neuigkeiten, wichtige Fakten und Empfehlungen zu NIS-2 und dessen Umsetzung in Litauen informiert zu werden.