Reisebüros, Fachverband

Neue Cybersicherheits-Richtlinie NIS 2

Sicherheit der Netz- und Informationssysteme: Was Reisebüros und Reiseveranstalter beachten sollten

Lesedauer: 2 Minuten

Die neue Richtlinie NIS 2 ersetzt die alte NIS-Richtlinie aus 2016 und betrifft auch erstmals mittlere und größere Reisebüros/Reiseveranstalter. Die NIS 2 Richtlinie muss von den Mitgliedsstaaten bis 17.10.2024 umgesetzt werden, d.h. spätestens ab diesem Datum werden die neuen Regelungen verpflichtend sein.

Was ist das Ziel von NIS2?

Die Cybersicherheits-Richtlinie soll die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU verbessern.

Wer ist betroffen?

Betroffen sind mittlere und große Unternehmen aus bestimmten Sektoren.

Ab wann gilt ein Unternehmen als groß oder mittel oder klein?

Größenklasse Beschäftigte (VZÄ) Jahresumsatz Jahresbilanzsumme
Kleines Unternehmen (KU) < 50 und ≤ 10 Mio. Euro oder ≤ 10 Mio. Euro
Mittleres Unternehmen (MU) < 250 und ≤ 50 Mio. Euro oder ≤ 43 Mio. Euro
Großes Unternehmen (GU) ≥ 250 oder > 50 Mio. Euro und > 43 Mio. Euro

Mittlere und große Reiseveranstalter und Reisebüros können als sogenannte Anbieter digitaler Dienste unter NIS 2 fallen, wenn sie einen „Online Marktplatz“ betreiben.

Zur Definition eines "Online Marktplatzes":

"Online-Marktplatz" ist ein Dienst, der es Verbrauchern durch die Verwendung von Software, einschließlich einer Website, eines Teils einer Website oder einer Anwendung, die vom oder im Namen des Gewerbetreibenden betrieben wird, ermöglicht, Fernabsatzverträge mit anderen Gewerbetreibenden oder Verbrauchern, abzuschließen.

Vermitteln also mittlere und große Reisebüros oder Reiseveranstalter über ihre Website Reiseleistungen von anderen Unternehmen (z.B. Reisebüro XY vermittelt eine Pauschalreise des Reiseveranstalters Z, Reiseveranstalter A vermittelt über seine Website einen Flug der Airline B), liegt wohl ein Online-Marktplatz im Sinne von NIS 2 vor. Reiseveranstalter, die über ihre Website ausschließlich eigene Leistungen verkaufen, fallen unseres Erachtens nicht unter die Definition eines Online-Marktplatzes.

Ausnahme für kleine Unternehmen

Ausgenommen von NIS 2 sind kleine Reisebüros und Reiseveranstalter. Als solche gelten Unternehmen, die weniger als 50 Mitarbeiter:innen beschäftigen und die entweder einen Jahresumsatz von höchstens 10 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Mio. Euro beläuft.

Was gibt die Richtlinie für Unternehmen vor?

Es sind Risikomanagementmaßnahmen zu treffen und Berichtspflichten zu beachten. Die Leitungsorgane (Geschäftsführer:in bei GmbH, Vorstände bei Aktiengesellschaft) überwachen die Umsetzung und haften bei Verstößen.

Welche Risikomanagementmaßnahmen sind zu treffen?

10 Risikomanagementmaßnahmen (Mindestmaßnahmen):

  1. Konzept Risikoanalyse und Sicherheit für Informationssysteme
  2. Bewältigung von Sicherheitsvorfällen
  3. Business Continuity und Krisenmanagement
  4. Sicherheit der Lieferkette
  5. Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
  7. Cyberhygiene und Schulungen zur Cybersicherheit
  8. Kryptografie und ggf. Verschlüsselung
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle
  10. Multi-Faktor-Authentifizierung

Dabei zu berücksichtigen sind:

  • der Stand der Technik
  • europäische und internationalen Normen
  • Kosten der Umsetzung
  • bestehendes Risiko
Weitere Informationen und Tipps zur Umsetzung der Cybersicherheits-Richtlinie NIS 2

Stand: 18.04.2024

Weitere interessante Artikel