Die Wirtschaft ist besorgt über die DSGVO 2.0 und die NIS-2-Richtlinie, weil beide Regulierungen zusätzliche Anforderungen und Herausforderungen mit sich bringen, die zu erheblichen Anpassungen führen können. Diese neuen Regelungen zielen darauf ab, den Datenschutz und die Cybersicherheit zu stärken, doch für Unternehmen entstehen dadurch neue Verantwortlichkeiten, Kosten und Risiken. Im Detail:
1. DSGVO 2.0
Die DSGVO (Datenschutz-Grundverordnung) trat bereits 2018 in Kraft und brachte wesentliche Veränderungen im Bereich des Datenschutzes. Nun steht eine mögliche Überarbeitung, DSGVO 2.0, an, die vermutlich weitere Verschärfungen und Konkretisierungen enthalten könnte.
Sorgen der Wirtschaft:
- Erweiterte Compliance-Anforderungen: Unternehmen, die bereits unter der aktuellen DSGVO umfangreiche Datenschutzmaßnahmen umsetzen müssen, fürchten, dass mit DSGVO 2.0 neue, strengere Regeln folgen, was zusätzliche Compliance-Kosten nach sich ziehen könnte.
- Höhere Bußgelder: Schon in der aktuellen Version sind die Bußgelder empfindlich hoch (bis zu 4 % des weltweiten Umsatzes). Unternehmen befürchten, dass diese noch weiter angehoben oder häufiger verhängt werden könnten.
- Unklare Anforderungen: Gerade für kleinere und mittelständische Unternehmen ist der Aufwand zur Umsetzung von Datenschutzrichtlinien oft schwer kalkulierbar. Eine unklare Rechtslage oder neue Vorschriften könnten Unsicherheiten schaffen und die Wettbewerbsfähigkeit beeinträchtigen.
- Internationale Auswirkungen: Unternehmen, die international tätig sind, müssen sich an verschiedene Datenschutzgesetze in verschiedenen Ländern anpassen. Verschärfungen in der DSGVO könnten zu Konflikten oder Mehraufwand führen, insbesondere wenn andere Länder andere Regelungen implementieren.
2. NIS-2-Richtlinie (Network and Information Security Directive)
Die NIS-2-Richtlinie ist eine Überarbeitung der ursprünglichen NIS-Richtlinie (2016), die sich auf die Cybersicherheit in kritischen Sektoren (wie Energie, Verkehr, Finanzen, Gesundheit) konzentriert. NIS-2 dehnt den Geltungsbereich auf mehr Sektoren aus und verlangt strengere Cybersicherheitsmaßnahmen von Unternehmen.
Sorgen der Wirtschaft:
- Erhöhte Sicherheitsanforderungen: Die NIS-2-Richtlinie sieht striktere Sicherheitsvorgaben vor, die eine umfassendere Absicherung von IT-Systemen erfordern. Unternehmen müssen mehr Ressourcen in den Schutz ihrer Infrastrukturen investieren, was kosten- und personalintensiv ist.
- Erweiterter Geltungsbereich: Während die ursprüngliche NIS-Richtlinie vor allem für große Unternehmen und kritische Infrastrukturen galt, betrifft NIS-2 mehr Branchen und auch kleinere Unternehmen, die bisher nicht reguliert waren. Das bedeutet, dass auch Unternehmen, die bislang wenig mit strengen Sicherheitsvorgaben zu tun hatten, nun neue Maßnahmen ergreifen müssen.
- Meldepflichten und Strafen: Unternehmen müssen im Falle eines Cyberangriffs schneller und umfassender Bericht erstatten. Versäumnisse können zu hohen Strafen führen, ähnlich wie bei der DSGVO. Besonders KMUs könnten Probleme haben, diese Anforderungen effizient zu erfüllen.
- Verstärkter Prüfungsdruck: Die Überwachung der Einhaltung von Cybersicherheitsstandards wird intensiviert, was mehr Audits und Inspektionen mit sich bringt. Unternehmen befürchten einen hohen Verwaltungsaufwand und mögliche Sanktionen bei Nichterfüllung.
Gesamtwirtschaftliche Auswirkungen:
- Erhöhte Kosten und Wettbewerbsfähigkeit: Die Umsetzung beider Regelwerke kann für viele Unternehmen teuer und ressourcenintensiv sein. Besonders mittelständische Unternehmen sehen hier die Gefahr, im internationalen Wettbewerb zurückzufallen, da sie möglicherweise nicht über die gleichen Mittel verfügen wie große Konzerne.
- Fachkräftemangel: Speziell in der Cybersicherheit gibt es einen erheblichen Fachkräftemangel. Unternehmen haben Schwierigkeiten, die notwendigen Experten zu finden, um den neuen Anforderungen der NIS-2 gerecht zu werden.
- Verwaltungsaufwand: Unternehmen klagen über einen steigenden Verwaltungsaufwand, der mit der Umsetzung der DSGVO 2.0 und der NIS-2 einhergeht. Die Vorschriften erfordern detaillierte Berichterstattung, regelmäßige Prüfungen und eine laufende Anpassung von internen Prozessen.
Fazit:
Die DSGVO 2.0 und die NIS-2-Richtlinie setzen wichtige Maßnahmen zum Schutz der Daten und der Cybersicherheit um, was gesellschaftlich und wirtschaftlich von Bedeutung ist. Allerdings haben Unternehmen berechtigte Sorgen bezüglich der Umsetzungskosten, der steigenden Bürokratie und den potenziellen Sanktionen, die mit den neuen Regulierungen einhergehen. Es bleibt daher abzuwarten, wie diese Vorschriften konkret ausgestaltet werden und welche Unterstützung insbesondere für kleinere Unternehmen bereitgestellt wird, um die neuen Anforderungen zu erfüllen.