Der Deutsche Reiseverband (DRV) unterstützt seine Mitgliedsunternehmen mit Handlungsempfehlungen und einem Whitepaper, um die Resilienz gegen Cyber-Angriffe zu stärken. Das Europäische Parlament und der Rat hatten 2022 die zweite Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) verabschiedet. Die EU-Mitgliedsstaaten hätten die Richtlinie bis Oktober 2024 in nationales Recht umsetzen müssen. In Deutschland ist dies noch nicht erfolgt. Die Bundesregierung hat nun eine geänderte Fassung beschlossen. Nach aktueller Planung soll das Gesetz bis Anfang 2026 verabschiedet werden und tritt dann voraussichtlich umgehend in Kraft.
Der DRV-Ausschuss Informationstechnologie hat gemeinsam mit ISO- Software ein Whitepaper erstellt, das die wichtigsten Anforderungen zusammenfasst. Darüber hinaus gibt es Unterstützung bei der Einschätzung, ob ein Unternehmen überhaupt unter die Verpflichtungen der NIS2 fällt. Durch die Richtlinie werden Unternehmen in bestimmten Sektoren der Wirtschaft, die eine bestimmte Mindestgröße überschreiten, zu Mindestanforderungen im Bereich der Netzwerk- und Informationssicherheit verpflichtet. Übergeordnetes Ziel ist es, die Cybersicherheit in verschiedenen Branchen zu stärken und so die Wirtschaft widerstandsfähiger gegen Cyberangriffe zu machen.
Die wichtigste Änderung für DRV-Mitglieder im neuen Entwurf ist, dass die Regeln nun für mehr Unternehmen gelten. Im vorherigen Entwurf wurden nur der Umsatz und die Mitarbeiterzahl einzelner betroffener Bereiche eines Unternehmens gezählt. Jetzt wird das ganze Unternehmen betrachtet. Das heißt: Sobald ein DRV-Mitglied in einem relevanten Sektor tätig ist und die Mindestgrenzen bei Umsatz oder Mitarbeitern überschreitet, gilt die NIS2-Richtlinie direkt.
Daneben geht das Whitepaper auch auf weitere Gesetze im Bereich der Cyber Security ein, nachdem der CRA (Cyber Resilience Act) und der AI-Act (Künstliche-Intelligenz-Verordnung) in Kraft getreten sind. Der CRA regelt die Entwicklung und den Vertrieb sicherer Software, der AI-Act regelt sowohl die Entwicklung als auch den Einsatz von KI. Beide Verordnungen sind unmittelbar und ohne Umsetzung in nationale Gesetze gültig, ähnlich der Datenschutzgrundverordnung (DSGVO).
Unternehmen sollten jetzt prüfen, ob sie von diesen Verordnungen betroffen sind. Dies ist beispielsweise der Fall, wenn sie einen KI-Chatbot auf ihrer Webseite einsetzen oder Software für den Touristikbereich herstellen.
Das DRV-Whitepaper steht DRV-Mitgliedern zum kostenlosen Download im Mitgliederbereich auf der DRV-Webseite zur Verfügung.
