Der DRV hat ein Whitepaper erstellt, das die wichtigsten Änderungen durch die NIS2-Richtlinie sowie relevante Vorgaben des Cyber Resilience Act und des AI-Act zusammenfasst. Der IT-Ausschuss des Verbandes veröffentlichte das Papier in Zusammenarbeit mit ISO-Software. Die EU hatte NIS2 2022 verabschiedet. Die Mitgliedstaaten mussten sie bis Oktober 2024 in nationales Recht umsetzen. Deutschland hat dies bislang nicht vollständig getan. Die Bundesregierung plant nach aktuellem Stand ein Gesetz, das Anfang 2026 verabschiedet werden soll und voraussichtlich unmittelbar in Kraft tritt. Der DRV bietet seinen Mitgliedern begleitende Einschätzungen und praxisnahe Handlungsempfehlungen an.

NIS2-Pflichten, Geltungsbereich und Folgen für Reiseunternehmen

Das Whitepaper erklärt, welche Unternehmen NIS2-Pflichten treffen. Betroffen sind Unternehmen in bestimmten Sektoren, die definierte Mindestgrößen bei Umsatz oder Beschäftigten überschreiten. Im neuen Entwurf wird das ganze Unternehmen betrachtet statt einzelner Bereiche. Dadurch steigen die Erfassungsquoten und mehr Firmen fallen unter die Vorgaben. NIS2 verlangt Mindestanforderungen an Netzwerk- und Informationssicherheit und soll die Widerstandsfähigkeit gegen Cyberangriffe stärken. Der DRV weist zudem auf die direkte Anwendbarkeit des Cyber Resilience Act und des AI-Act hin. Beide Verordnungen gelten unmittelbar in der EU ohne nationale Umsetzung, ähnlich der DSGVO. Unternehmen sollten insbesondere prüfen, ob der Betrieb eines KI-Chatbots, die Nutzung externer KI-Dienste oder die Entwicklung von Touristik-Software sie in den Anwendungsbereich der neuen Regeln bringt.