Jetzt mit Update zum Refe­ren­ten­ent­wurf vom 24.06.2024 !


Neu­er Bürokratie-Hammer oder längst fällig?

In Zei­ten des digi­ta­len Wan­dels rückt das The­ma der Cyber­si­cher­heit, ins­be­son­de­re für kri­ti­sche Infra­struk­tu­ren, immer mehr in den Fokus der Öffent­lich­keit. Es wird von einer signi­fi­kant gestie­ge­nen Bedro­hungs­la­ge für Wirt­schaft, Ver­wal­tung und Gesell­schaft gespro­chen. Die­ser Tat­sa­che ist sich auch der euro­päi­sche Gesetz­ge­ber bewusst. Er hat daher eine Neu­fas­sung der NIS-Richtlinie, die sog. NIS2-Richtlinie, erlas­sen, die Anfang 2023 in Kraft getre­ten ist. Die Umset­zung in deut­sches Recht ist bis zum 17. Okto­ber 2024 vor­ge­se­hen, aber schon jetzt stellt sich die Fra­ge, was auf die Unter­neh­men zukommt.

Die­se Arten von Pflich­ten dürf­ten den meis­ten Unter­neh­men nicht unbe­kannt sein, da sie mitt­ler­wei­le zu einem fes­ten Bestand­teil eines jeden guten Risi­ko­ma­nage­ments gewor­den sind. – Han­nah Schöttle

Die NIS2-Richtlinie („The Net­work and Infor­ma­ti­on Secu­ri­ty Direc­ti­ve“, (EU) 2022/2555) befasst sich mit der Cyber­si­cher­heit und Infor­ma­ti­ons­si­cher­heit von Unter­neh­men und Insti­tu­tio­nen. Die Richt­li­nie ist Teil eines Rege­lungs­ge­fü­ges zur Gesetz­ge­bung zu digi­ta­len Sach­ver­hal­ten wie dem EU Arti­fi­ci­al Intel­li­gence Act (AIA) (Hier geht’s zum Arti­kel). Da es sich hier­bei um eine Richt­li­nie der EU han­delt, müs­sen die Mit­glied­staa­ten die­se bis zum 17. Okto­ber 2024 in natio­na­les Recht umset­zen. Den Mit­glieds­staa­ten steht es frei das in der NIS2-Richtlinie vor­ge­se­he­ne Cyber­si­cher­heits­ni­veau zu erhö­hen, da die Richt­li­nie nach Art. 5 NIS2-RL expli­zit min­dest­har­mo­ni­sie­ren­de Stan­dards dar­stellt. Zum jet­zi­gen Zeit­punkt wur­de in Deutsch­land ein ers­ter Refe­ren­ten­ent­wurf des Umset­zungs­ge­set­zes zur NIS2-Richtlinie (NIS2UmsuCG, Bear­bei­tungs­stand: 07.05.2024) veröffentlicht.

Klei­ner Hin­weis am Ran­de: Die NIS2-Richtlinie ist sys­te­ma­tisch klar von der EU-Resilienz-Richtlinie (Cri­ti­cal Enti­ties Resi­li­ence CRE) abzu­gren­zen. Im Gegen­satz zu der NIS2-Richtlinie befasst sich die CRE-Richtlinie mit der Resi­li­enz vor nicht-cyberbezogenen Risiken.

Betrof­fe­ne Unter­neh­men und Institutionen

Die Neu­fas­sung der NIS-Richtlinie erwei­tert den Betrof­fe­nen­kreis erheb­lich. Jedes Unter­neh­men muss selbst fest­stel­len, ob es in den Anwen­dungs­be­reich fällt. Es gibt kei­ne behörd­li­che Mit­tei­lung über eine etwa­ige Betroffenheit.

Die betrof­fe­nen Unter­neh­men und Insti­tu­tio­nen las­sen sich zukünf­tig vor­aus­sicht­lich in drei Kate­go­rien einordnen:

  • Betrei­ber beson­ders wich­ti­ger Ein­rich­tun­gen (§ 28 Abs. 1 NIS2UmsuCG)
  • Betrei­ber wich­ti­ger Ein­rich­tun­gen (§ 28 Abs. 2 NIS2UmsuCG)
  • Betrei­ber einer kri­ti­schen Anla­ge (§ 28 Abs. 5 NIS2UmsuCG)

Der Begriff der Ein­rich­tung bezieht sich hier­bei auf öffent­li­che sowie auf pri­va­te Einrichtungen.

Betrei­ber einer beson­ders wich­ti­gen Einrichtung:

Betrei­ber einer wich­ti­gen Einrichtung: 

Betrei­ber einer kri­ti­schen Anla­ge (KRITIS-Betreiber):

Erbrin­gen Betrei­ber ihre Dienst­leis­tun­gen in einem Sek­tor mit hoher Kri­ti­k­ali­tät (nach Anla­ge 1 bzw. § 28 Abs. 6 NIS2UmsuCG) in eige­nen Anla­gen und über­schrei­ten damit den Schwel­len­wert (Richt­wert: 500.000 ver­sorg­te Per­so­nen), wer­den sie als KRITIS-Betreiber eingestuft.

Nicht abschlie­ßen­der Über­blick über die Sektoren: 

Sek­to­ren mit hoher Kri­ti­k­ali­tät (nach Anla­ge 1) Sons­ti­ge kri­ti­sche Sek­to­ren (nach Anla­ge 2)
Ener­gie Anbie­ter von Post- und Kurierdiensten
Trans­port und Verkehr Abfall­wirt­schaft
Finanz- und Versicherungswesen Che­mi­sche Erzeugnisse
Gesund­heits­we­sen Lebens­mit­tel
Trink- und Abwasser Ver­ar­bei­ten­des Gewerbe/Herstellung von Waren
Infor­ma­ti­ons­tech­nik und Telekommunikation Anbie­ter digi­ta­ler Dienste
Welt­raum For­schungs­ein­rich­tun­gen

Bei­spiel 1: Ihr Unter­neh­men mit Tätig­keit im Gesund­heits­we­sen beschäf­tigt 230 Mit­ar­bei­ten­de und hat einen Jah­res­um­satz von 55 Mio. € sowie eine Jah­res­bi­lanz­sum­me von 45 Mio. €. 

Bei­spiel 2: Ihr Unter­neh­men ist ein Pro­du­zent che­mi­scher Erzeug­nis­se mit 100 Mit­ar­bei­ten­den und hat einen Jah­res­um­satz von 12 Mio. € sowie eine Jah­res­bi­lanz­sum­me von 8 Mio. €.

Unsi­cher, ob Ihr Unter­neh­men betrof­fen ist? Neh­men Sie Kon­takt mit uns auf, wir unter­stüt­zen Sie ger­ne mit Ihrer Betroffenheitsanalyse.

Hand­lungs­be­darf: Pflich­ten und Aus­wir­kun­gen aus der NIS2-Richtlinie 

Die Richt­li­nie sieht eine Viel­zahl an Pflich­ten vor, die sich grob in fol­gen­de Ober­be­grif­fe glie­dern lassen:

  • Risi­ko­ma­nage­ment: Aus­wahl und Iden­ti­fi­zie­rung geeig­ne­ter Cybersecurity-Maßnahmen (§§ 30, 31 NIS2UmsuCG)
  • unver­züg­li­che Mel­de­pflicht von erheb­li­chen Sicher­heits­vor­fäl­len (3 Stu­fen) (§ 32 NIS2UmsuCG)
  • Regis­trie­rungs­pflicht (§ 33 i. V. m. § 60 Abs. 2 Nr. 4 und 5 NIS2UmsuCG)
  • Unter­rich­tungs­pflich­ten bei einem erheb­li­chen Sicher­heits­vor­fall (§ 35 NIS2UmsuCG)
  • Billigungs‑, Überwachungs- und Schu­lungs­pflicht des Geschäfts­lei­ters (§ 38 NIS2UmsuCG)
  • Nach­weis­pflich­ten über die Erfül­lung der Anfor­de­run­gen gem. §§ 30 Abs. 1, 31 NIS2UmsuCG (§ 39 NIS2UmsuCG)

Der Aspekt der Lie­fer­ket­te darf ins­be­son­de­re beim Risi­ko­ma­nage­ment nicht ver­nach­läs­sigt wer­den. So nennt Art. 21 NIS2-RL expli­zit die „Sicher­heit der Lie­fer­ket­te ein­schließ­lich sicher­heits­be­zo­ge­ner Aspek­te der Bezie­hun­gen zwi­schen den ein­zel­nen Ein­rich­tun­gen und ihren unmit­tel­ba­ren Anbie­tern oder Diens­te­an­bie­tern“. Dies ver­deut­licht, dass die betrof­fe­nen Ein­rich­tun­gen des BSIG (= Gesetz über das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik, § 2 Abs. 10 BSGI) in Zukunft kla­re ver­trag­li­che Ver­ein­ba­run­gen mit ihren Dienst­leis­tern tref­fen müs­sen, um eine umfas­sen­de Umset­zung der Cyber­si­cher­heit zu gewährleisten.

Die­se Arten von Pflich­ten dürf­ten den meis­ten Unter­neh­men nicht unbe­kannt sein, da sie mitt­ler­wei­le zu einem fes­ten Bestand­teil eines jeden guten Risi­ko­ma­nage­ments gewor­den sind. Sie kön­nen weit­ge­hend durch ein Infor­ma­ti­on Secu­ri­ty Manage­ment Sys­tem (ISMS, engl. für “Manage­ment­sys­tem für Infor­ma­ti­ons­si­cher­heit”) auf­ge­fan­gen werden.

Die NIS2-Richtlinie weist deut­li­che Ähn­lich­kei­ten mit der Datenschutz-Grundverordnung (DSGVO) auf, z.B. in Bezug auf die Struk­tur, die Sank­tio­nen und die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOMs). Das The­ma Cyber­si­cher­heit ist eng mit dem The­ma Daten­schutz ver­bun­den. Neh­men Sie Kon­takt zu uns auf, auch zum The­ma Daten­schutz bera­ten wir Sie gerne.

Aus­wei­tung der Haftung

Die Neu­fas­sung der Richt­li­nie beinhal­tet eine Ver­schär­fung der Sank­ti­ons­maß­nah­men. Der Ent­wurf sieht eben­falls eine Aus­deh­nung der Haf­tung auf die Lei­tungs­or­ga­ne der Ein­rich­tun­gen vor.

Der Buß­geld­rah­men bestimmt sich anhand der Ein­ord­nung des Unter­neh­mens als eine wesent­li­che Ein­rich­tung oder eine wich­ti­ge Ein­rich­tung. Im Fal­le einer wesent­li­chen Ein­rich­tung kön­nen Buß­gel­der bis zu 10 Mio. € oder 2 % des welt­wei­ten Jah­res­um­sat­zes ver­hängt wer­den, je nach­dem, wel­cher Betrag höher ist. Die­se Sank­ti­ons­vor­schrif­ten ähneln der der DSGVO. Bei Vor­lie­gen einer wich­ti­gen Ein­rich­tung ist der Rah­men nied­ri­ger ange­setzt mit einem Höchst­be­trag von Buß­geld bis zu 7 Mio. € oder 1,4 % des welt­wei­ten Jah­res­um­sat­zes. Hier ist eben­falls der höhe­re Betrag maßgeblich.

Der Refe­ren­ten­ent­wurf sieht der­zeit zusätz­lich eine Haf­tung der Lei­tungs­or­ga­ne mit ihrem Pri­vat­ver­mö­gen für die Ein­hal­tung der Risi­ko­ma­nage­ment­maß­nah­men vor. Es ist beson­ders wich­tig zu beach­ten, dass die­se Ver­pflich­tung nicht durch Beauf­tra­gung eines Drit­ten erfüllt wer­den kann. Die­se Bestim­mung betont erneut, was im GmbH- und Akti­en­recht längst aner­kannt ist: die Ver­ant­wor­tung für Cyber­se­cu­ri­ty liegt bei der Geschäfts­lei­tung – oder anders aus­ge­drückt: „Digi­tal Com­pli­ance ist Chefsache“.


Update zum neu­es­ten Refe­ren­ten­ent­wurf vom 24.06.2024:

Die Billigungs‑, Überwachungs- und Schu­lungs­pflicht des Geschäfts­lei­ters nach § 38 NIS2UmsuCG wur­de nun in eine stren­ge­re Umset­zungs­pflicht des Geschäfts­lei­ters geän­dert. Dies kann im Zwei­fels­fall bedeu­ten, dass die Geschäfts­lei­tung die Risi­ko­ma­nage­ment­maß­nah­men nicht mehr nur geneh­mi­gen, son­dern auch selbst umset­zen muss.

Eine wesent­li­che Ände­rung gab es bei den Haf­tungs­vor­schrif­ten. Die Rege­lung über die Unzu­läs­sig­keit eines Ver­gleichs oder Ver­zichts etwa­iger Ersatz­an­sprü­che gegen die Geschäfts­lei­tung wur­de ersatz­los gestri­chen. Die Haf­tung der Geschäfts­lei­tung rich­tet sich nun nach den anwend­ba­ren Regeln des Gesell­schafts­rechts (wie bspw. nach § 43 GmbHG oder § 93 AktG). Im Fal­le einer Ver­let­zung ihrer Umsetzungs‑, Überwachungs- und Schu­lungs­pflicht (§ 38 Abs. 1 NIS2UmsuCG) führt das zu dem Resul­tat eines schuld­haft ver­ur­sach­ten Scha­dens durch die Geschäfts­lei­tung. Eine Haf­tung nach dem BSIG-neu greift nur, falls die gesell­schafts­recht­li­chen Bestim­mun­gen kei­ne Haf­tungs­re­ge­lun­gen ent­hal­ten. Da das BSIG-neu jedoch kei­ne Haf­tungs­re­ge­lun­gen für die Geschäfts­lei­tung ent­hält, könn­te dies im Zwei­fel einer gericht­li­chen Klä­rung bedürfen.

Pas­send hier­zu hat die Euro­päi­sche Kom­mis­si­on eini­ge Tage spä­ter den ers­ten Ent­wurf für einen Durch­füh­rungs­rechts­akt ver­öf­fent­licht, der die Pflich­ten für Ein­rich­tun­gen in den NIS2-Sektoren „Digi­ta­le Infra­struk­tur“, „Anbie­ter ver­wal­te­ter Diens­te (B2B)“ und „Anbie­ter digi­ta­ler Diens­te“ fest­legt. Der Ent­wurf kon­kre­ti­siert die tech­ni­schen und metho­di­schen Anfor­de­run­gen für Risi­ko­ma­nage­ment­maß­nah­men und defi­niert Kri­te­ri­en, wann ein Sicher­heits­vor­fall als „erheb­lich“ gemel­det wer­den muss. Der Rechts­akt gilt zwar nur für die­se Digi­tal­sek­to­ren, zeigt jedoch eine all­ge­mei­ne Ten­denz der Kom­mis­si­on zur Inter­pre­ta­ti­on von Risi­ko­ma­nage­ment­maß­nah­men, an der sich auch Auf­sichts­be­hör­den ori­en­tie­ren könn­ten. Auf­grund des­sen emp­fiehlt es sich, sich an dem Maß­nah­men­ka­ta­log zu ori­en­tie­ren und als Leit­fa­den für die Umset­zung der Anfor­de­run­gen an das IT-Risikomanagement (§ 30 NIS2UmsuCG) zu verwenden.


Fazit

Die Euro­päi­sche Uni­on setzt zuneh­mend auf den Erlass von Ver­ord­nun­gen, Richt­li­ni­en und ähn­li­chen Maß­nah­men in digi­ta­len Sach­ver­hal­ten. Die­ser Trend stößt jedoch auch auf Kri­tik, ins­be­son­de­re wegen der damit ver­bun­de­nen Zunah­me an Büro­kra­tie und Res­sour­cen. Eini­ge sehen die Men­ge an Rege­lun­gen als über­mä­ßig an. Trotz des damit ver­bun­de­nen büro­kra­ti­schen Auf­wands wird Cyber­si­cher­heit zu einem immer wich­ti­ge­ren The­ma in der heu­ti­gen digi­ta­len Welt. Der Schutz vor Cyber­an­grif­fen wird als uner­läss­lich angesehen.

Ers­te Schät­zun­gen gehen davon aus, dass ca. 30.000 Unter­neh­men in Deutsch­land ihre Sicher­heits­maß­nah­men deut­lich erhö­hen müs­sen, um den Anfor­de­run­gen der NIS2-Richtlinie gerecht zu wer­den. Dies wird zu einer deut­li­chen Erhö­hung der Cyber­si­cher­heit füh­ren und damit die Zie­le der Richt­li­nie, die Har­mo­ni­sie­rung und Aus­bau der Cyber­se­cu­ri­ty, errei­chen. Die Ein­hal­tung der Richt­li­nie wird zu einem inte­gra­len Bestand­teil von Com­pli­ance und Gover­nan­ce für jede betrof­fe­ne Ein­rich­tung werden.

Auch wenn noch unklar ist, wie die Umset­zung in natio­na­les Recht bis zum 17. Okto­ber 2024 genau aus­se­hen wird, sind kei­ne wesent­li­chen Ände­run­gen gegen­über dem aktu­el­len Ent­wurf zu erwar­ten. Unter­neh­men soll­ten sich daher auf eine frist­ge­rech­te Umset­zung vor­be­rei­ten. Ent­schei­dend ist, sich früh­zei­tig und pro­ak­tiv mit dem The­ma aus­ein­an­der­zu­set­zen. Es ist wei­ter­hin zu erwar­ten, dass es Ver­su­che geben wird, die recht­li­chen Anfor­de­run­gen und Ver­pflich­tun­gen im Rah­men von Ver­trä­gen von den Auf­trag­ge­bern auf die Auf­trag­neh­mer abzuwälzen.

Auch wenn der Umset­zungs­zeit­punkt des 17. Okto­ber 2024 der NIS2-Richtlinie für vie­le noch in wei­ter Fer­ne zu lie­gen scheint, emp­fiehlt es sich, bereits jetzt mit einer com­pli­ance­kon­for­men Imple­men­tie­rung der Cybersecurity-Richtlinie auseinanderzusetzen.

Was Sie noch interessieren könnte:

AI-Act – ein Überblick

Der sog. Arti­fi­ci­al Intel­li­gence Act (AI-Act, KI-Gesetz) wur­de am 13. März 2024 vom Euro­päi­schen Par­la­ment beschlos­sen und am 21. […]

Die Zulässigkeit digitaler Entgeltabrechnungen

Die Zuläs­sig­keit digi­ta­ler Ent­gelt­ab­rech­nun­gen Es ist mitt­ler­wei­le üblich, dass wir Rech­nun­gen und Doku­men­te digi­tal erhal­ten. Zu den­ken sind an […]

eAU: Neuerungen für Arbeitgeber

eAU: Neue­run­gen für Arbeit­ge­ber Seit dem 01.01.2023 gilt für Arbeit­ge­ber die Pflicht, die Arbeits­un­fä­hig­keits­be­schei­ni­gung (AU) ihrer Beschäf­tig­ten digi­tal abzurufen. […]

Autorin des Artikels:

Hannah Schöttle

Wirtschaftsjuristin LL.B.