DRV informiert über neue Gesetze zur Cyber-Sicherheit

Mit seinem Whitepaper gibt der Verband Handlungsempfehlungen zur zweiten Richtlinie zur Netzwerk- und Informationssicherheit (NIS2). Die Bundesregierung hat eine geänderte Fassung beschlossen, die bis Anfang 2026 verabschiedet werden soll. Danach treten die Regeln unmittelbar in Kraft.

Besonders relevant für Reiseunternehmen ist, dass künftig nicht mehr einzelne Unternehmensbereiche betrachtet werden, sondern die gesamte Organisation. Überschreiten Umsatz oder Mitarbeiterzahl die vorgegebenen Grenzen und ist das Unternehmen in einem relevanten Sektor tätig, greift die NIS2-Richtlinie direkt.

Mit NIS2 will die EU die Widerstandsfähigkeit gegen Cyberangriffe erhöhen. Betroffene Unternehmen müssen Mindeststandards im Bereich IT-Sicherheit umsetzen. Dazu zählen etwa ein systematisches Risikomanagement und klare Abläufe im Krisenfall.

Weitere Gesetze greifen sofort

Das Whitepaper beleuchtet auch den Cyber Resilience Act (CRA) und den AI-Act. Beide EU-Verordnungen sind unmittelbar gültig, ähnlich wie die Datenschutzgrundverordnung. Während der CRA sichere Entwicklung und Vertrieb von Software vorschreibt, legt der AI-Act Regeln für die Entwicklung und den Einsatz künstlicher Intelligenz fest.

Für die Touristik kann das direkte Folgen haben: Schon der Einsatz eines KI-Chatbots auf einer Unternehmenswebsite kann eine Regulierungspflicht auslösen. Auch Anbieter von Branchensoftware müssen prüfen, ob ihre Produkte betroffen sind.

Unterstützung für Mitglieder

Das DRV-Whitepaper entstand in Zusammenarbeit mit ISO-Software und steht Mitgliedsunternehmen kostenlos im Mitgliederbereich der DRV-Webseite zur Verfügung. Es gibt einen Überblick über die Anforderungen und hilft bei der Einschätzung, ob ein Unternehmen unter die neuen Pflichten fällt.