NIS 2 in Rumänien umgesetzt – erweiterte Pflichten zu Cyber- und Informationssicherheit

Im Jahr 2024 hat die Regierung die Dringlichkeitsverordnung 155/2024 zur Schaffung eines Rahmens für die Cybersicherheit von Netzen und Informationssystemen im nationalen zivilen Cyberraum („DVO 155“) verabschiedet. Hiermit setzt sie die Richtlinie (EU) 2022/2555 vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (Network and Information Security Directive – „NIS2-Richtlinie“) in rumänisches Recht um. Die DVO führt für bestimmte private und öffentliche Einrichtungen neue Verpflichtungen im Bereich Cybersecurity ein. Der sich hieraus ergebende Handlungsbedarf für Unternehmen wird nachstehend dargestellt. 

Welche Unternehmen sind betroffen?

Die DVO 155 unterteilt die „Einrichtungen“, die den Verpflichtungen der Richtlinie unterliegen, in zwei Kategorien:

  • „wesentliche Einrichtungen“ (entități esențiale);
  • „wichtige Einrichtungen“ (entități importante).

Das Gesetz unterscheidet ferner nach der Aktivität der Einrichtungen; es unterteilt die Sektoren in hochkritisch (Anhang 1, z. B. Energie, Transport, Banken, Finanzmärkte, Wasser und Abwasser, IT Infrastruktur) und kritisch (Anhang 2, z. B. Post- und Kurierdienste, Abfallwirtschaft, Chemie- und Lebensmittelproduktion sowie -vertrieb, bestimmtes verarbeitendes Gewerbe, digitale Dienstleister und Forschung).

Wichtig sind auch die Einstufung von Unternehmen als groß, mittelgroß oder klein, sowie das Risikoniveau der jeweiligen Einrichtung unter Berücksichtigung von vier Faktoren (Einzigartigkeit, signifikante Auswirkung, signifikantes systemisches Risiko und kritische Bedeutung).

Was sind „wichtige“ und „wesentliche“ Einrichtungen?

In Anbetracht der obigen Ausführungen gelten u. a. die folgenden Einrichtungen als wesentlich:

  • alle Unternehmen, die von Anhang 1 und 2 erfasst werden und das o. g. Risikoniveau aufweisen;
  • große Unternehmen, die von Anlage 1 erfasst werden, unabhängig vom Risikograd, den sie aufweisen;
  • gesetzlich als kritisch eingestufte Einrichtungen sowie DNS- und Vertrauensdiensteanbieter und TLD-Register;
  • große und mittelgroße Unternehmen, die elektronische Kommunikationsnetze oder öffentlich zugängliche elektronischer Kommunikationsdienste oder bestimmte Sicherheitsdienste anbieten.


Als wichtig gelten hingegen u. a. folgende Einrichtungen:

  • nicht wesentliche große und mittelgroße Unternehmen, die von Anlage 1 oder 2 erfasst werden;
  • kleine Anbieter öffentlicher Kommunikationsnetze.

Verpflichtungen

Betroffene Einrichtungen müssen:

  • strengere Cybersicherheitsmaßnahmen beachten, sie müssen ein umfassenderes Risikomanagementkonzept vorbereiten und dabei eine Mindestliste grundlegender Sicherheitselemente beachten;
  • die Lieferketten von Produkten in den oben erwähnten kritischen Sektoren überprüfen;
  • detaillierte Notfallpläne und Maßnahmen zur Geschäftskontinuität sowie Systeme zur schnellen Wiederherstellung von Daten und Diensten sowie Backup-Strategien vorbereiten;
  • bei Notfällen innerhalb von 24 Stunden eine Erstmeldung bei den Computer-Notfallteams erstatten und innerhalb eines Monats einen vollständigen Bericht einreichen;
  • ein Cybersicherheitsaudit durchführen (gilt für wesentliche und wichtige Einrichtungen je nach Höhe des Risikos);
  • Registrierung in ein von der Nationalen Direktion für Cybersicherheit (Direcția Natională pentru Securitate Cibernetică, kurz DNSC) geführtes Register wichtiger und wesentlicher Einrichtungen (die First hierfür ist eigentlich am 30. Januar 2025 abgelaufen, das Register gibt es allerdings noch nicht). 

Sanktionen

Mit der Erhöhung der Anforderungen an die Cybersicherheit sind Geldbußen für die Nichtbeachtung der Vorschriften gestiegen. Für wesentliche Einrichtungen können die Bußgelder bis zu 10 Mio. Euro oder 2 Prozent des Vorjahresumsatzes betragen, für wichtige Einrichtungen bis zu einer Grenze von 7 Mio. Euro oder 1,4 Prozent des Vorjahresumsatzes verhängt werden. 

Haftung der Geschäftsleitung

Die DVO 155 sieht vor, dass das Management von Einrichtungen für die Nichtbeachtung der dieser obliegenden Verpflichtungen haftbar gemacht werden kann. Die Mitglieder der Leitungsorgane müssen auch akkreditierte Schulungen absolvieren, um sicherzustellen, dass sie über ausreichende Kenntnisse und Fähigkeiten verfügen, um Risiken zu erkennen und Praktiken des Cybersicherheitsrisikomanagements zu bewerten.

Fazit

Trotz der neuen Verpflichtungen aufgrund der DVO 155 erfolgt deren Umsetzung nicht sofort. Alle zusammenhängenden sekundären Rechtsvorschriften sollten innerhalb von höchstens 180 Tagen verabschiedet werden. Mit besonderer Spannung werden die von der DNSC zu entwickelnden detaillierten Risikobewertungskriterien erwartet. Hoffentlich ist die Sekundärgesetzgebung übersichtlicher als die DVO. Unternehmen sollten die „Schonfrist“ für eine vorläufige Selbsteinschätzung nutzen, um festzustellen, ob die DVO 155 ihnen Cybersecurity-Verpflichtungen auferlegt.

Kontakt und weitere Informationen:

STALFORT Legal. Tax. Audit.

Bukarest – Sibiu – Bistrița
Büro  Bukarest:
Tel.:       +40 – 21 – 301 03 53
Fax.:       +40 – 21 – 315 78 36
E-Mail:  bukarest@stalfort.ro
www.stalfort.ro 

<- Zurück zu: Wirtschaft