NIS2-Durchsetzungsbefugnisse: Was die Aufsichtsbehörden tun können und wie sie sich darauf vorbereiten
Wer sollte das lesen: Compliance-Beauftragte, Rechtsteams, CFOs, Vorstandsmitglieder, Risikomanager und alle, die für die Sicherstellung der organisatorischen Compliance und das Management regulatorischer Risiken verantwortlich sind.
NIS2 bietet Aufsichtsbehörden leistungsstarke Tools zur Durchsetzung der Einhaltung der Vorschriften. Die Aufsichtsbehörden können Prüfungen durchführen, Abhilfemaßnahmen anordnen, Verstöße öffentlich beschämen, den Betrieb aussetzen und Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes verhängen. Dies sind keine abstrakten Risiken. Sobald die NIS2-Konformität durchsetzbar wird, werden die Aufsichtsbehörden von diesen Befugnissen Gebrauch machen.
In den Artikeln 32-34 sind die Durchsetzungsbefugnisse festgelegt. In diesem Leitfaden wird erklärt, was Aufsichtsbehörden tun können, wie sie diese Befugnisse voraussichtlich nutzen werden, welche Strafen gelten und wie sich Organisationen darauf vorbereiten sollten.
Wer setzt NIS2 durch?
Jeder EU-Mitgliedstaat benennt eine „zuständige Behörde“, die für die Durchsetzung von NIS2 in seinem Hoheitsgebiet zuständig ist. Das ist oft:
Die nationale Cybersicherheitsbehörde (z. B. das deutsche Bundesamt für Sicherheit in der Informationstechnik, die französische Nationale Cybersicherheitsbehörde).
Eine sektorale Regulierungsbehörde (z. B. die Energieregulierungsbehörde für Energieunternehmen, die Gesundheitsbehörde für Gesundheitseinrichtungen).
In einigen Mitgliedstaaten gibt es eine eigene NIS2-Behörde, die von den sektoralen Regulierungsbehörden getrennt ist.
Ihr erster Schritt zur Einhaltung der Vorschriften besteht darin, Ihre nationale zuständige Behörde zu ermitteln. Dies ist die Aufsichtsbehörde, die Sie beaufsichtigt, Informationen anfordert, Prüfungen durchführt und die Einhaltung der Vorschriften durchsetzt.
Aufsichtsbefugnisse: Was Aufsichtsbehörden mit wichtigen Unternehmen tun können
Artikel 32 beschreibt die Aufsichtsbefugnisse, die die Regulierungsbehörden gegenüber wesentlichen Unternehmen haben. Diese Befugnisse sind umfangreich.
Inspektionen vor Ort und Überwachung außerhalb des Standorts
Die Aufsichtsbehörden können unangekündigte oder geplante Inspektionen vor Ort in Ihren Einrichtungen durchführen. Sie können auch externe Inspektionen durchführen (Überprüfung von Dokumenten, Anforderung von Informationen). Sie können jederzeit stichprobenartige Kontrollen durchführen, um die Einhaltung der Vorschriften zu überprüfen.
Diese Inspektionen sind keine höflichen Besuche. Die Aufsichtsbehörden werden befugt sein, auf Systeme zuzugreifen, Sicherheitskontrollen zu überprüfen, Mitarbeiter zu befragen und alle Informationen anzufordern, die sie benötigen.
Zur Vorbereitung: Stellen Sie sicher, dass Ihre Sicherheitskontrollen tatsächlich implementiert (nicht nur dokumentiert) sind, dass Ihre Dokumentation korrekt und aktuell ist und Ihr Personal die Cybersicherheitsanforderungen versteht. Führen Sie regelmäßig interne Audits durch, damit Sie Lücken entdecken, bevor die Aufsichtsbehörden dies tun.
Regelmäßige und gezielte Sicherheitsaudits
Die Aufsichtsbehörden können von Ihrem Unternehmen verlangen, dass es sich Sicherheitsüberprüfungen unterzieht, die von unabhängigen Prüfern oder von eigenen Mitarbeitern der Aufsichtsbehörde durchgeführt werden. Diese Prüfungen sind zielgerichtet (konzentrieren sich auf bestimmte Risiken) und basieren auf Risikobewertungen.
Wichtig ist, dass Sie für Prüfungen zahlen, die von unabhängigen Wirtschaftsprüfern durchgeführt werden, außer in ungewöhnlichen Fällen, in denen die Aufsichtsbehörde etwas anderes entscheidet. Dies ist mit Kosten verbunden und durchsetzbar.
Zur Vorbereitung: Beauftragen Sie qualifizierte unabhängige Auditoren (zertifiziert nach ISO 27001, CREST-Zertifizierung oder gleichwertig) mit der Durchführung regelmäßiger Audits. Nutzen Sie die Prüfungsergebnisse, um Lücken zu identifizieren und zu beheben, bevor die Aufsichtsbehörden ihre eigenen Audits durchführen.
Ad-hoc-Prüfungen
Tritt ein schwerwiegender Vorfall ein oder liegen der Aufsichtsbehörde Hinweise auf Verstöße vor, kann sie jederzeit Überraschungsaudits durchführen. Diese sind weder geplant noch angekündigt.
Zur Vorbereitung: Aufrechterhaltung eines kontinuierlichen Bereitschaftszustands. Implementieren Sie Cybersicherheitsmaßnahmen nicht nur, wenn Sie mit einem Audit rechnen.
Sicherheitsscans und Bewertungen
Aufsichtsbehörden können Sicherheitsscans (Schwachstellenscans, Penetrationstests) durchführen, um Schwachstellen zu identifizieren. Diese müssen auf objektiven, diskriminierungsfreien und fairen Kriterien beruhen.
Zur Vorbereitung: Führen Sie regelmäßige Schwachstellenscans und Penetrationstests Ihrer Systeme durch. Beseitigen Sie Sicherheitslücken umgehend, damit die Aufsichtsbehörden keine Sicherheitslücken finden, von denen Sie bereits wussten (was schlimm aussieht).
Auskunftsersuchen
Die Aufsichtsbehörden können alle Informationen anfordern, die für die Bewertung Ihrer Compliance erforderlich sind: dokumentierte Cybersicherheitsrichtlinien, Risikobewertungen, Auditergebnisse, Verfahren zur Reaktion auf Vorfälle, Schulungsunterlagen, Zugriffskontrollrichtlinien usw.
Die Aufsichtsbehörde muss den Zweck der Anfrage angeben und angeben, welche Informationen gewünscht werden. Der Anwendungsbereich ist jedoch breit gefächert.
Zur Vorbereitung: Führen Sie eine umfassende Dokumentation Ihres Cybersicherheitsprogramms. Stellen Sie sicher, dass die Dokumente aktuell sind und genau widerspiegeln, was Sie tatsächlich tun. Richten Sie ein Verfahren ein, um Informationsanfragen innerhalb eines angemessenen Zeitrahmens (in der Regel 2-4 Wochen) zu beantworten.
Durchsetzungsbefugnisse: Was Aufsichtsbehörden mit wichtigen Stellen tun können
Stellt eine Regulierungsbehörde Verstöße fest, hat sie Durchsetzungsbefugnisse. Diese verschärfen sich — sie können mit Verwarnungen beginnen und bis hin zu Bußgeldern und Betriebseinschränkungen eskalieren.
Warnungen und verbindliche Anweisungen
Die mildeste Durchsetzungsmaßnahme ist eine schriftliche Warnung vor Verstößen. Schwerwiegender ist eine verbindliche Anweisung, nach der Sie bestimmte Maßnahmen ergreifen müssen (z. B. „Implementieren Sie innerhalb von 90 Tagen eine Multifaktor-Authentifizierung für alle administrativen Zugriffe“).
Zur Vorbereitung: Nehmen Sie Warnungen ernst. Wenn eine Aufsichtsbehörde eine verbindliche Anweisung herausgibt, sollten Sie deren Einhaltung priorisieren. Das Versäumnis einer verbindlichen Anweisungsfrist führt zu einer eskalierten Durchsetzung.
Anordnungen zur Einstellung von Verstößen
Die Aufsichtsbehörden können Ihnen anordnen, Verhaltensweisen zu beenden, die gegen NIS2 verstoßen, und Ihnen verbieten, dieses Verhalten zu wiederholen.
Anordnungen zur Einhaltung der Artikel 21 und 23
Die Aufsichtsbehörden können Anordnungen erlassen, in denen genau festgelegt wird, wie Sie die Cybersicherheitsmaßnahmen (Artikel 21) oder die Meldung von Vorfällen (Artikel 23) einhalten müssen, und Fristen für die Einhaltung festlegen.
Beispiel: „Innerhalb von 90 Tagen ab dem Datum dieser Bestellung müssen Sie gemäß Artikel 21 Absatz 2 Buchstabe c ein Programm zur Geschäftskontinuität und Notfallwiederherstellung mit einer Wiederherstellungszeit von 4 Stunden implementieren. Sie müssen die Umsetzung innerhalb von 120 Tagen nachweisen.“
Zur Vorbereitung: Stellen Sie sicher, dass Sie Pläne haben, um etwaige Lücken zu schließen. Versprechen Sie keine Einhaltung, die Sie nicht einhalten können. Wenn eine Frist für Ihre Umstände unrealistisch ist, fordern Sie eine Änderung an, bevor die Bestellung endgültig ist.
Bestellungen zur Benachrichtigung von Serviceempfängern
Wenn Ihre Kunden von einer erheblichen Cyberbedrohung betroffen sind, können die Aufsichtsbehörden Sie anweisen, Kunden über die Bedrohung zu informieren und darüber, wie sie sich schützen können.
Benennung eines Überwachungsbeauftragten
Bei schwerwiegenden Verstößen kann eine Regulierungsbehörde einen Aufsichtsbeauftragten benennen, der Ihre Einhaltung der Artikel 21 und 23 überwacht. Dieser Beauftragte hat Zugriff auf Ihre Systeme, Unterlagen und Ihr Personal.
Dies ist aufdringlich und kostspielig (möglicherweise müssen Sie die Gebühren des Beamten zahlen). Es ist quasi ein externer Compliance-Monitor, der in Ihrem Unternehmen tätig ist.
Zur Vorbereitung: Vermeiden Sie es, diesen Punkt zu erreichen, indem Sie von Anfang an eine solide Einhaltung der Vorschriften implementieren.
Öffentliche Offenlegung
Die Aufsichtsbehörden können Sie anweisen, Aspekte Ihrer Verstöße in einer bestimmten Weise öffentlich bekannt zu geben. Wenn Sie einen schwerwiegenden Verstoß verschwiegen oder Verstöße vertuscht haben, können die Aufsichtsbehörden Sie anweisen, dies öffentlich bekannt zu geben.
Dies schadet dem Ruf und ist eine ernsthafte Durchsetzungsmaßnahme.
Eskalierte Durchsetzung: Aussetzung und Verbot
Wenn eine Aufsichtsbehörde eine verbindliche Anweisung erteilt und Sie die Frist nicht einhalten, kann die Aufsichtsbehörde eskalieren. Sie können:
Setzen Sie vorübergehend jegliche Zertifizierung oder Autorisierung in Bezug auf Ihre Dienste aus (wodurch Sie effektiv außer Betrieb genommen werden).
Bitten Sie Gerichte oder Tribunale, Managern (CEO-Ebene) die Ausübung von Führungsfunktionen in Ihrem Unternehmen zu verbieten.
Dies sind extreme Maßnahmen, aber sie sind verfügbar. Sie werden eingesetzt, wenn die ordentliche Durchsetzung nicht funktioniert.
Zur Vorbereitung: Niemals diesen Punkt erreichen. Halten Sie sich rechtzeitig an verbindliche Anweisungen.
Wichtige Entitäten: Lighter Touch
Artikel 33 beschreibt die Aufsichts- und Durchsetzungsbefugnisse wichtiger Stellen (im Anwendungsbereich kleinerer Organisationen).
Der entscheidende Unterschied: Die Beaufsichtigung wichtiger Unternehmen erfolgt „ex post“ — sie erfolgt, nachdem ein Problem identifiziert wurde, nicht proaktiv. Die Aufsichtsbehörden überprüfen wichtige Unternehmen nicht nach dem Zufallsprinzip wie wichtige Unternehmen.
Sobald jedoch Hinweise auf Verstöße vorliegen, können die Aufsichtsbehörden dieselben Aufsichts- und Durchsetzungsmaßnahmen ergreifen wie bei wichtigen Stellen.
Die Durchsetzungsinstrumente sind ähnlich, aber etwas weniger ausgestaltet: Die Regulierungsbehörden können keine Kontrollbeamten benennen oder den Betrieb wichtiger Einrichtungen aussetzen (obwohl sie immer noch Bußgelder und verbindliche Anweisungen verhängen können).
Zur Vorbereitung: Wichtige Unternehmen sollten davon ausgehen, dass sie keinen regelmäßigen proaktiven Audits ausgesetzt sein werden, aber trotzdem die Einhaltung der Vorschriften gewährleisten sollten. Ein Vorfall oder ein Bericht über die Nichteinhaltung der Vorschriften kann eine umfassende behördliche Untersuchung auslösen.
Verwaltungsstrafen: Die finanzielle Sanktion
Die Artikel 34-35 legen die Bußgeldregelung fest.
Elfmeter-Stufen
Wesentliche Stellen, die gegen Artikel 21 (Cybersicherheitsmaßnahmen) oder Artikel 23 (Meldung von Vorfällen) verstoßen:
Höchststrafe: mindestens 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Wichtige Stellen, die gegen Artikel 21 oder Artikel 23 verstoßen:
Höchststrafe: mindestens 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Bei großen multinationalen Unternehmen dominiert die umsatzabhängige Geldbuße. Ein Unternehmen mit einem Jahresumsatz von 1 Mrd. EUR zahlt bis zu 20 Mio. EUR (2% des Umsatzes) bzw. 14 Mio. EUR (1,4%).
Für kleinere Unternehmen gilt die feste Geldbuße (10 Mio. EUR oder 7 Mio. EUR).
Beachten Sie das Wort „Maximum“. Die tatsächliche Geldbuße kann in jedem Fall niedriger ausfallen, aber die Aufsichtsbehörden verhängen bei schweren Verstößen in der Regel hohe Bußgelder.
Systematische Verstöße
Die Richtlinie legt fest, dass bei systematischen Verstößen gegen Artikel 21 oder Artikel 23 Geldbußen bis zu folgenden Bußgeldern verhängt werden können:
Für wichtige Unternehmen: 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist.
Das ist das Doppelte der Standardstrafe. „Systematisch“ bedeutet wiederholte Ausfälle in mehreren Bereichen oder über einen längeren Zeitraum.
Was bestimmt den Bußgeldbetrag?
Bei der Festlegung der Höhe der Geldbuße müssen die Aufsichtsbehörden Folgendes berücksichtigen:
Schwere des Verstoßes: Handelt es sich um einen geringfügigen (Dokumentationslücke) oder um einen schwerwiegenden (keine Reaktionsfähigkeit bei Vorfällen)?
Dauer: Wie lange besteht der Verstoß?
Frühere Verstöße: Handelt es sich um einen erstmaligen Verstoß oder um einen Wiederholungsverstoß?
Verursachter Schaden: Hat der Verstoß zu einem wesentlichen Zwischenfall geführt? Wie viele Nutzer waren betroffen?
Vorsatz oder Fahrlässigkeit: Hat die Organisation die Anforderungen bewusst ignoriert oder war sie fahrlässig?
Maßnahmen zur Schadensvermeidung/Schadensbegrenzung: Hat die Organisation Maßnahmen zur Schadensbegrenzung ergriffen?
Einhaltung von Verhaltenskodizes oder Zertifizierungen: Befolgt die Organisation anerkannte Standards?
Zusammenarbeit mit den Aufsichtsbehörden: Hat die Organisation an der Untersuchung mitgearbeitet oder sie behindert?
Zu den schwerwiegenden Verstößen, die erhöhte Bußgelder nach sich ziehen, gehören:
Wiederholte Verstöße.
Versäumnis, wichtige Vorfälle zu melden oder zu beheben.
Nichteinhaltung verbindlicher Anweisungen.
Behinderung von Audits.
Bereitstellung falscher oder grob ungenauer Informationen.
Zur Vorbereitung: Nehmen Sie alle Durchsetzungsmaßnahmen ernst. Ignorieren oder behindern Sie Ermittlungen nicht. Seien Sie transparent und arbeiten Sie mit den Aufsichtsbehörden zusammen. Dies reduziert Ihr Bußgeldrisiko.
Persönliche Haftung für Entscheidungsträger
In Artikel 32 Absatz 6 wird klargestellt, dass die Haftung nicht nur bei der Organisation, sondern auch bei den für die Geschäftsführung verantwortlichen Personen liegt:
„Die Mitgliedstaaten stellen sicher, dass jede natürliche Person, die aufgrund ihrer Vertretungsbefugnis, der Befugnis, in ihrem Namen Entscheidungen zu treffen, oder der Behörde, die Kontrolle über sie auszuüben, für eine wesentliche Einheit verantwortlich ist oder als deren gesetzlicher Vertreter handelt, befugt ist, die Einhaltung dieser Richtlinie sicherzustellen. Die Mitgliedstaaten stellen sicher, dass diese natürlichen Personen für die Verletzung ihrer Pflichten zur Einhaltung dieser Richtlinie haftbar gemacht werden können.“
Dies gilt für CEOs, Vorstandsmitglieder, General Counsel, CISOs und alle, die befugt sind, Entscheidungen über Cybersicherheit zu treffen.
Persönliche Haftung bedeutet, dass Sie individuell verklagt werden können. Je nach nationalem Recht können Sie persönlich für Bußgelder, Schadensersatz oder strafrechtliche Sanktionen verantwortlich gemacht werden.
Zur Vorbereitung: Abschluss einer Berufshaftpflichtversicherung und einer Cyber-Haftpflichtversicherung, die die persönliche Haftung von Entscheidungsträgern abdeckt. Dokumentieren Sie Ihre Unternehmensführung und Entscheidungsfindung, damit Sie nachweisen können, dass Sie in gutem Glauben gehandelt haben. Wenn das Unternehmen trotz Ihrer Anweisungen im Bereich Cybersicherheit fahrlässig gehandelt hat, dokumentieren Sie, dass Sie Abhilfemaßnahmen eingeleitet haben.
Datenschutz und Wettbewerbskoordination
Artikel 35 erfordert die Abstimmung mit den Datenschutzbehörden (denen, die die DSGVO durchsetzen). Wenn ein NIS2-Verstoß eine Verletzung des Schutzes personenbezogener Daten beinhaltet, kann der Datenschutzbeauftragte (in der Regel die nationale Datenschutzbehörde) gegen das Unternehmen eine Geldbuße gemäß der DSGVO verhängen. Die NIS2-Regulierungsbehörden und die Datenschutzbehörden müssen sich abstimmen, um zu vermeiden, dass gegen die Organisation wegen desselben Verhaltens doppelte Geldbußen verhängt werden.
Dies ist wichtig für Ihre Compliance-Strategie: Ein Vorfall, der sowohl gegen NIS2 als auch gegen die DSGVO verstößt, wird von beiden Aufsichtsbehörden durchgesetzt, aber sie müssen die Strafen koordinieren.
Verfahrenstechnische Schutzmaßnahmen
Vor der Verhängung von Durchsetzungsmaßnahmen müssen die Regulierungsbehörden gemäß Artikel 32 Absatz 8:
Begründen Sie die Durchsetzungsmaßnahme ausführlich.
Informieren Sie das Unternehmen über vorläufige Feststellungen.
Geben Sie dem Unternehmen eine angemessene Frist, um Stellungnahmen einzureichen und sich zu verteidigen.
Dies sind wichtige Verfahrensrechte. Sie haben das Recht, gehört zu werden, bevor Strafen verhängt werden. Benutze das. Wenn Sie der Meinung sind, dass eine Aufsichtsbehörde Fakten oder Umstände falsch verstanden hat, reichen Sie ausführliche schriftliche Antworten ein, in denen Sie Ihre Position erläutern.
Was die Aufsichtsbehörden wahrscheinlich priorisieren werden
Auf der Grundlage des NIS-2-Textes und der Erfahrungen mit der Durchsetzung der DSGVO ist davon auszugehen, dass sich die Aufsichtsbehörden auf Folgendes konzentrieren werden:
Verwaltung auf Vorstandsebene (Artikel 20): Genehmigen und beaufsichtigen die Leitungsorgane tatsächlich die Cybersicherheit? Oder wurde die Unternehmensführung delegiert, ohne dass der Vorstand daran beteiligt war?
Meldung von Vorfällen (Artikel 23): Unterrichten Unternehmen die Aufsichtsbehörden fristgerecht über schwerwiegende Vorfälle? Oder verbergen sie Vorfälle?
Sicherheit der Lieferkette (Artikel 21 Absatz 2 Buchstabe d): Verfügen Organisationen über Verfahren zur Bewertung und Überwachung der Lieferanten? Oder vertrauen sie Anbietern blind?
Multifaktor-Authentifizierung (Artikel 21 Absatz 2 Buchstabe j)): Wird MFA auf kritischen Systemen implementiert? Dies ist eine wirkungsvolle, messbare Kontrolle.
Geschäftskontinuität (Artikel 21 Absatz 2 Buchstabe c)): Kann die Organisation ihre Dienste nach einem größeren Zwischenfall tatsächlich wiederherstellen? Oder wurde Disaster Recovery nicht getestet?
Dies sind die Bereiche, die die Aufsichtsbehörden zuerst prüfen und am aggressivsten durchsetzen werden.
Durchsetzungsstrategie: So minimieren Sie das Risiko
Um das Durchsetzungsrisiko zu minimieren:
Setzen Sie die Einhaltung von Vorschriften von Anfang an ernsthaft um. Gehen Sie nicht „abwartend“ vor.
Führen Sie regelmäßige interne Audits durch (mindestens vierteljährlich) und gehen Sie umgehend auf Feststellungen ein.
Sorgen Sie für eine detaillierte Dokumentation Ihres Cybersicherheitsprogramms, Ihrer Richtlinien, Risikobewertungen und Entscheidungen.
Engagieren Sie die Unternehmensführung auf Vorstandsebene. Dokumentieren Sie die Genehmigungen und die Überwachung durch den Vorstand.
Richten Sie die Fähigkeit zur Reaktion auf Vorfälle ein und testen Sie sie regelmäßig.
Beurteilen und überwachen Sie wichtige Anbieter.
Beantworten Sie alle Informationsanfragen der Aufsichtsbehörden umgehend und vollständig. Zögern Sie nicht und geben Sie keine unvollständigen Antworten.
Wenn eine Aufsichtsbehörde eine verbindliche Anweisung erlässt, halten Sie sich rechtzeitig daran. Wenn Sie die Frist nicht einhalten können, fordern Sie vor Ablauf der Frist eine Änderung an.
Wenn sich ein schwerwiegender Vorfall ereignet, benachrichtigen Sie die Aufsichtsbehörden sofort und arbeiten Sie bei deren Untersuchung uneingeschränkt zusammen.
Schließen Sie eine Cyber-Haftpflichtversicherung mit angemessenen Obergrenzen ab.
Ziehen Sie einen erfahrenen Anwalt hinzu, wenn eine Aufsichtsbehörde eine Untersuchung einleitet.
Behindern Sie keine Audits oder Untersuchungen. Die Zusammenarbeit wird bei der Festsetzung von Strafen positiv bewertet.
Grenzüberschreitende Koordination
Artikel 37 verpflichtet die Regulierungsbehörden der verschiedenen Mitgliedstaaten zur Zusammenarbeit bei der Durchsetzung. Wenn Sie in mehreren Mitgliedstaaten tätig sind, können Sie mit einer koordinierten Durchsetzung rechnen.
Die Aufsichtsbehörden können gemeinsame Aufsichtsmaßnahmen durchführen (z. B. gleichzeitige Prüfungen in mehreren Ländern) oder um gegenseitige Unterstützung ersuchen (eine Regulierungsbehörde fordert eine andere auf, Prüfungen durchzuführen oder Informationen bereitzustellen).
Dies bedeutet, dass Sie in mehreren Ländern mit koordinierter regulatorischer Aufmerksamkeit konfrontiert sind. Ihr Compliance-Programm muss in allen Ländern die höchsten Standards erfüllen.
Wichtige Erkenntnisse
- Die NIS2-Regulierungsbehörden (zuständige Behörden der Mitgliedstaaten) verfügen über umfangreiche Aufsichtsbefugnisse, darunter Inspektionen vor Ort, Sicherheitsaudits, Penetrationstests und Informationsanfragen; die Beaufsichtigung wesentlicher Stellen erfolgt proaktiv; die Beaufsichtigung wichtiger Stellen erfolgt reaktiv (nach Nachweis der Nichteinhaltung).
- Die Durchsetzung eskaliert von Verwarnungen und verbindlichen Anweisungen bis hin zu Anordnungen zur Einstellung von Verstößen, Offenlegung und (bei wichtigen Stellen) der Aussetzung von Zertifizierungen und einem Verbot von Managern. Wiederholte Verstöße oder die Nichteinhaltung verbindlicher Anweisungen führen zu einer eskalierten Durchsetzung.
- Die Geldbußen für Verstöße gegen Artikel 21/23 betragen mindestens 10 Millionen EUR (wesentlich) oder 7 Millionen EUR (wichtig) oder 2%/1,4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist; bei systematischen Verstößen können die Bußgelder gegen wesentliche Unternehmen 20 Millionen EUR oder 4% des Umsatzes erreichen.
- Zu den schwerwiegenden Verstößen, die zu erhöhten Bußgeldern führen, gehören wiederholte Verstöße, das Versäumnis, Vorfälle zu melden oder zu beheben, verbindliche Anweisungen nicht einzuhalten, Prüfungen zu behindern und falsche Informationen bereitzustellen. Vorsatz, Zusammenarbeit mit den Aufsichtsbehörden und ergriffene Abhilfemaßnahmen reduzieren die Bußgeldbeträge.
- Eine persönliche Haftung besteht für Manager, Vorstandsmitglieder und Entscheidungsträger; sie können individuell für Verstöße gegen organisatorische Vorschriften haftbar gemacht werden; eine Haftpflichtversicherung ist von entscheidender Bedeutung.
- Um das Durchsetzungsrisiko zu minimieren: Setzen Sie die Einhaltung der Vorschriften von Anfang an ernsthaft um, führen Sie regelmäßige interne Audits durch, führen Sie detaillierte Unterlagen, stellen Sie die Unternehmensführung sicher, kommen Sie den Anforderungen der Aufsichtsbehörden umgehend nach, befolgen Sie verbindliche Anweisungen rechtzeitig und ziehen Sie bei Ermittlungen einen Rechtsbeistand hinzu.
- Grenzüberschreitende Koordinierung bedeutet, dass Regulierungsbehörden in verschiedenen Mitgliedstaaten bei der Durchsetzung zusammenarbeiten; Organisationen, die in mehreren Ländern tätig sind, werden koordiniert überwacht und durchgesetzt.
