Cybersicherheit in Rumänien: zwischen der NIS-2-Richtlinie, der DORA-Verordnung und der DSGVO

Das heutige Geschäftsumfeld ist in hohem Maße digitalisiert und die Cybersicherheit ist längst nicht mehr eine rein technische Angelegenheit, sondern ein wesentlicher Bestandteil jeder Geschäftsstrategie, der der eine erhebliche rechtliche Bedeutung hinsichtlich der Einhaltung der geltenden Rechtsvorschriften zukommt.

Die Sicherheit von Netzen, Informationssystemen und Daten ist seit geraumer Zeit eines der Hauptanliegen der Europäischen Union. Daher, um das Sicherheitsniveau auf EU-Ebene und in den Mitgliedstaaten zu erhöhen, wurde eine Reihe von gesetzlichen Regelungen geschaffen und eingeführt. 

Die zentrale Rolle der EU-Verordnungen im Bereich der Cybersicherheit nimmt die NIS-2-Richtlinie (EU-Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der EU) ein, die durch die durch die am 31.12.2024 in Kraft getretene REV (Regierungseilverordnung) Nr. 155/2024 in das rumänische nationale Recht umgesetzt wurde.

Die DORA-Verordnung (EU-Verordnung 2554/2022 über den digitalen Betrieb und die digitale Widerstandsfähigkeit des Finanzsektors) und die bereits bekannte DSGVO (Datenschutz-Grundverordnung oder GDPR – General Data Protection Regulation) ergänzen diesen Rahmen und bilden eine hochkomplexe rechtliche Struktur, die wiederum ein tiefes Verständnis erfordert, um die Vorschriftseinhaltung (Konformität) zu gewährleisten und die Risiken zu minimieren.

Die NIS-2-Richtlinie und die REV Nr. 155/2024: Eckpfeiler des Cybersicherheitsregelwerks

Die Cybersicherheit ist darauf ausgerichtet, Netze und Informationssysteme (NIS), deren Nutzer und sonstige betroffene Personen vor Cybervorfällen und -bedrohungen zu schützen Um auf die zunehmende Gefährdung durch Cyber-Bedrohungen zu reagieren, hat die EU die NIS-2-Richtlinie verabschiedet, die den Anwendungsbereich und Umfang ihrer Vorgängerin, der NIS-1-Richtlinie, durch klarere Regeln und stärkere Aufsichtsinstrumente erheblich ausweitet.

Sohin, zusätzlich zu den bereits von der NIS 1 umfassten Sektoren – wie Energie, Verkehr, Gesundheitswesen, Finanzen, Wasserwirtschaft und digitale Infrastrukturen – erweitert die NIS 2 ihre Reichweite auf ein breites Spektrum öffentlicher und privater Einrichtungen, einschließlich auf Anbieter verschiedener digitaler Dienste (wie soziale Plattformen, Rechenzentrumsdienste, Cloud-Computing-Dienste, öffentliche elektronische Kommunikationsnetze, öffentlich zugängliche elektronische Kommunikationsdienste, digitale Anbieter von Online-Marktplätzen oder Online-Suchmaschinen), Anbieter von Abfallbewirtschaftungsdiensten, Post- und Kurierdienste, Business-to-Business-IKT-Dienstleistungsmanagement, Forschungseinrichtungen usw. Darüber hinaus, aufgrund der Art und Natur der den jeweiligen Einrichtungen obliegenden Verpflichtungen, könnten Situationen entstehen, in denen der Anwendungsbereich der NIS 2 – durch Abprall, in indirekter Weise – auch auf Dienstleister der direkt von der NIS 2 erfassten Einrichtungen zur Geltung käme.

Je nach ihrer Bedeutung für Wirtschaft und Gesellschaft werden Organisationen bzw. Einrichtungen, basierend auf einer Reihe von Faktoren wie Größe, Wirtschaftszweig und kritische Rolle in der nationalen Infrastruktur, als wesentlich oder wichtig eingestuft.

Je nach ihrer Kategorie haben Einrichtungen eine Reihe spezifischer Pflichten und Verantwortlichkeiten in Bezug auf das Risikomanagement und von zu diesem Zweck umzusetzenden Strategien und Verfahren, die Meldung bedeutender Cybersicherheitsvorfälle samt spezifischer Detailangaben und zugleich unter Beachtung der gesetzlich sowie durch die Zusammenarbeit und den Informationsaustausch mit den zuständigen Behörden und sonstigen Stellen zur Verhinderung und Bewältigung von Vorfällen definierten Bedingungen.

DORA-Verordnung: spezifische Verpflichtungen im Finanzsektor

Die DORA-Verordnung konzentriert sich auf die digitale operationelle Resilienz des Finanzsektors und betrifft die sektorspezifischen Cyberrisiken. Die Komplexität der DORA-Auswirkungen auf die Cybersicherheit für Unternehmen im Finanzsektor ist vergleichbar mit jener der DSGVO für den Schutz personenbezogener Daten.

Obwohl ursprünglich als Ergänzung der NIS-2-Richtlinie gedacht, erlegt die DORA-Verordnung zusätzliche Verpflichtungen für Finanzinstitute auf, jeweils mit Schwerpunkt auf dem Vorfallmanagement und der Schaffung robuster Vorfallerkennungs-, Melde- und Verwaltungsverfahren, sowie auf regelmäßigen Belastbarkeitstests, um die Widerstandsfähigkeit der Institute auf Cyberangriffe zu prüfen, und auf der Zusammenarbeit mit Aufsichtsbehörden und anderen Stellen, um die Resilienz des gesamten Finanzsystems zu gewährleisten.

DSGVO: der Schutz personenbezogener Daten – wesentlicher Bestandteil

Die am 25. Mai 2018 in Kraft getretene DSGVO ist eine für alle den Schutz personenbezogener Daten fundamentale Verordnung, die für alle Unternehmer gilt und sich unmittelbar auf die Cybersicherheit auswirkt. Eine Sicherheitslücke, die zum Verlust oder zur Kompromittierung personenbezogener Daten führt, hat, einerseits, die Verpflichtung, die zuständige Behörde und, möglicherweise, die betroffenen Personen zu benachrichtigen, und, andererseits, die Verhängung erheblicher Bußgelder zur Folge.

Interdependenzen und Herausforderungen

Die drei Vorschriften – die NIS-Richtlinie 2 (und ihre Umsetzung in Landesrecht: die REV Nr. 155/2024), die DORA-Verordnung und die DSGVO – befinden sich in einem wechselseitigen Abhängigkeitsverhältnis zueinander bzw. sind sie interdependent. Eine Sicherheitsverletzung kann gleichzeitige Pflichten nach jeder dieser Verordnungen auslösen. Ein Finanzinstitut, das Opfer eines Cyberangriffs wird, hat beispielsweise die DORA-Anforderungen zum Vorfallmanagement, die NIS 2-/REV Nr. 155/2024-Anforderungen zur Meldung und die DSGVO-Anforderungen zur Benachrichtigung über einen möglichen Verlust personenbezogener Daten zu erfüllen.

Die Einhaltung dieser Vorschriften erfordert einen Ansatz, der technische, rechtliche und organisatorische Aspekte integriert, und haben Unternehmen dafür, u. a.:

• ihr Risikoprofil im Hinblick auf die NIS 2-Richtlinie/REV Nr. 155/2024, die DORA-Verordnung (falls zutreffend) und die DSGVO zu bewerten und zu ermitteln, ob und wie die Bestimmungen der einzelnen Vorschriften auf sie zur Anwendung kommen;
• Cybersicherheitsmaßnahmen ergreifen, die für die erkannten Risiken geeignet und damit verhältnismäßig sind, und sämtliche diesbezüglichen Aktivitäten dokumentieren;
• Sicherheitsrichtlinien und -verfahren erstellen und umsetzen und deren regelmäßige Aktualisierung sicherstellen;
• ihre Mitarbeiter in Cybersicherheit und Datenschutz unterweisen und sicherstellen, dass sie klare, gesetzeskonforme Verfahren zum Management sowie zur Meldung von Cybervorfällen haben.

Die Missachtung dieser Pflichten kann zu erheblichen Geldstrafen, Imageschäden und Vertrauensverlusten bei Kunden und Partnern führen.

Haftungsausschluss: Dieses Material ist eine allgemeine Analyse und gilt nicht als Rechtsberatung. Es erübrigt weder die Notwendigkeit einer eingehenden Analyse der amtlich bekanntgemachten Rechtsvorschriften, noch die einer Rechtsberatung durch einen Fachanwalt und stellt auch keinen Ersatz für eine solche dar.