Neuer Compliance-Hammer oder längst fällig?
In Zeiten des digitalen Wandels rückt das Thema der Cybersicherheit, insbesondere für kritische Infrastrukturen, immer mehr in den Fokus der Öffentlichkeit. Es wird von einer signifikant gestiegenen Bedrohungslage für Wirtschaft, Verwaltung und Gesellschaft gesprochen. Dieser Tatsache ist sich auch der europäische Gesetzgeber bewusst. Er hat daher eine Neufassung der NIS-Richtlinie, die sog. NIS2-Richtlinie, erlassen, die Anfang 2023 in Kraft getreten ist. Die Umsetzung in deutsches Recht ist bis zum 17. Oktober 2024 vorgesehen, aber schon jetzt stellt sich die Frage, was auf die Unternehmen zukommt.
Diese Arten von Pflichten dürften den meisten Unternehmen nicht unbekannt sein, da sie mittlerweile zu einem festen Bestandteil jeder guten Unternehmenscompliance geworden sind. – Hannah Schöttle
Die NIS2-Richtlinie („The Network and Information Security Directive“, (EU) 2022/2555) befasst sich mit der Cybersicherheit und Informationssicherheit von Unternehmen und Institutionen. Die Richtlinie ist Teil eines Regelungsgefüges zur Gesetzgebung zu digitalen Sachverhalten wie dem EU Artificial Intelligence Act (AIA) (Hier geht’s zum Artikel). Da es sich hierbei um eine Richtlinie der EU handelt, müssen die Mitgliedstaaten diese bis zum 17. Oktober 2024 in nationales Recht umsetzen. Den Mitgliedsstaaten steht es frei das in der NIS2-Richtlinie vorgesehene Cybersicherheitsniveau zu erhöhen, da die Richtlinie nach Art. 5 NIS2-RL explizit mindestharmonisierende Standards darstellt. Zum jetzigen Zeitpunkt wurde in Deutschland ein erster Referentenentwurf des Umsetzungsgesetzes zur NIS2-Richtlinie (NIS2UmsuCG, Bearbeitungsstand: 27.09.2023) veröffentlicht.
Kleiner Hinweis am Rande: Die NIS2-Richtlinie ist systematisch klar von der EU-Resilienz-Richtlinie (Critical Entities Resilience CRE) abzugrenzen. Im Gegensatz zu der NIS2-Richtlinie befasst sich die CRE-Richtlinie mit der Resilienz vor nicht-cyberbezogenen Risiken.
Betroffene Unternehmen und Institutionen
Die Neufassung der NIS-Richtlinie erweitert den Betroffenenkreis erheblich. Jedes Unternehmen muss selbst feststellen, ob es in den Anwendungsbereich fällt. Es gibt keine behördliche Mitteilung über eine etwaige Betroffenheit.
Die betroffenen Unternehmen und Institutionen lassen sich zukünftig voraussichtlich in drei Kategorien einordnen:
- Betreiber besonders wichtiger Einrichtungen (§ 28 Abs. 1 NIS2UmsuCG)
- Betreiber wichtiger Einrichtungen (§ 28 Abs. 2 NIS2UmsuCG)
- Betreiber einer kritischen Anlage (§ 28 Abs. 5 NIS2UmsuCG)
Der Begriff der Einrichtung bezieht sich hierbei auf öffentliche sowie auf private Einrichtungen.
Betreiber einer besonders wichtigen Einrichtung:
Betreiber einer wichtigen Einrichtung:
Betreiber einer kritischen Anlage (KRITIS-Betreiber):
Erbringen Betreiber ihre Dienstleistungen in einem Sektor mit hoher Kritikalität (nach Anlage 1 bzw. § 28 Abs. 6 NIS2UmsuCG) in eigenen Anlagen und überschreiten damit den Schwellenwert (Richtwert: 500.000 versorgte Personen), werden sie als KRITIS-Betreiber eingestuft.
Nicht abschließender Überblick über die Sektoren:
Sektoren mit hoher Kritikalität (nach Anlage 1) | Sonstige kritische Sektoren (nach Anlage 2) |
---|---|
Energie | Anbieter von Post- und Kurierdiensten |
Transport und Verkehr | Abfallwirtschaft |
Finanz- und Versicherungswesen | Chemische Erzeugnisse |
Gesundheitswesen | Lebensmittel |
Trink- und Abwasser | Verarbeitendes Gewerbe/Herstellung von Waren |
Informationstechnik und Telekommunikation | Anbieter digitaler Dienste |
Weltraum | Forschungseinrichtungen |
Beispiel 1: Ihr Unternehmen mit Tätigkeit im Gesundheitswesen beschäftigt 230 Mitarbeitende und hat einen Jahresumsatz von 55 Mio. € sowie eine Jahresbilanzsumme von 45 Mio. €.
Beispiel 2: Ihr Unternehmen ist ein Produzent chemischer Erzeugnisse mit 100 Mitarbeitenden und hat einen Jahresumsatz von 12 Mio. € sowie eine Jahresbilanzsumme von 8 Mio. €.
Unsicher, ob Ihr Unternehmen betroffen ist? Nehmen Sie Kontakt mit uns auf, wir unterstützen Sie gerne mit Ihrer Betroffenheitsanalyse.
Handlungsbedarf: Pflichten und Auswirkungen aus der NIS2-Richtlinie
Die Richtlinie sieht eine Vielzahl an Pflichten vor, die sich grob in folgende Oberbegriffe gliedern lassen:
- Risikomanagement: Auswahl und Identifizierung geeigneter Cybersecurity-Maßnahmen (§§ 30, 31 NIS2UmsuCG)
- unverzügliche Meldepflicht (3 Stufen) (§ 32 NIS2UmsuCG)
- Registrierungspflicht (§ 33 i. V. m. § 60 Abs. 2 Nr. 4 und 5 NIS2UmsuCG)
- Unterrichtungspflichten bei einem erheblichen Sicherheitsvorfall (§ 35 NIS2UmsuCG)
- Billigungs‑, Überwachungs- und Schulungspflicht des Geschäftsleiters (§ 38 NIS2UmsuCG)
- Nachweispflichten über die Erfüllung der Anforderungen gem. §§ 30 Abs. 1, 31 NIS2UmsuCG (§ 39 NIS2UmsuCG)
Der Aspekt der Lieferkette darf insbesondere beim Risikomanagement nicht vernachlässigt werden. So nennt Art. 21 NIS2-RL explizit die „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern“. Dies verdeutlicht, dass die betroffenen Einrichtungen des BSIG in Zukunft klare vertragliche Vereinbarungen mit ihren Dienstleistern treffen müssen, um eine umfassende Umsetzung der Cybersicherheit zu gewährleisten.
Diese Arten von Pflichten dürften den meisten Unternehmen nicht unbekannt sein, da sie mittlerweile zu einem festen Bestandteil jeder guten Unternehmenscompliance geworden sind.
Die NIS2-Richtlinie weist deutliche Ähnlichkeiten mit der Datenschutz-Grundverordnung (DSGVO) auf, z.B. in Bezug auf die Struktur, die Sanktionen und die technischen und organisatorischen Maßnahmen (TOMs). Das Thema Cybersicherheit ist eng mit dem Thema Datenschutz verbunden. Nehmen Sie Kontakt zu uns auf, auch zum Thema Datenschutz beraten wir Sie gerne.
Ausweitung der Haftung
Die Neufassung der Richtlinie beinhaltet eine Verschärfung der Sanktionsmaßnahmen. Der Entwurf sieht ebenfalls eine Ausdehnung der Haftung auf die Leitungsorgane der Einrichtungen vor.
Der Bußgeldrahmen bestimmt sich anhand der Einordnung des Unternehmens als eine wesentliche Einrichtung oder eine wichtige Einrichtung. Im Falle einer wesentlichen Einrichtung können Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Diese Sanktionsvorschriften ähneln der der DSGVO. Bei Vorliegen einer wichtigen Einrichtung ist der Rahmen niedriger angesetzt mit einem Höchstbetrag von Bußgeld bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes. Hier ist ebenfalls der höhere Betrag maßgeblich.
Der Referentenentwurf sieht derzeit zusätzlich eine Haftung der Leitungsorgane mit ihrem Privatvermögen für die Einhaltung der Risikomanagementmaßnahmen vor. Es ist besonders wichtig zu beachten, dass diese Verpflichtung nicht durch Beauftragung eines Dritten erfüllt werden kann. Diese Bestimmung betont erneut, was im GmbH- und Aktienrecht längst anerkannt ist: die Verantwortung für Cybersecurity liegt bei der Geschäftsführung – oder anders ausgedrückt: „Digital Compliance ist Chefsache“.
Fazit
Die Europäische Union setzt zunehmend auf den Erlass von Verordnungen, Richtlinien und ähnlichen Maßnahmen in digitalen Sachverhalten. Dieser Trend stößt jedoch auch auf Kritik, insbesondere wegen der damit verbundenen Zunahme an Bürokratie und Ressourcen. Einige sehen die Menge an Regelungen als übermäßig an. Trotz des damit verbundenen bürokratischen Aufwands wird Cybersicherheit zu einem immer wichtigeren Thema in der heutigen digitalen Welt. Der Schutz vor Cyberangriffen wird als unerlässlich angesehen.
Erste Schätzungen gehen davon aus, dass ca. 30.000 Unternehmen in Deutschland ihre Sicherheitsmaßnahmen deutlich erhöhen müssen, um den Anforderungen der NIS2-Richtlinie gerecht zu werden. Dies wird zu einer deutlichen Erhöhung der Cybersicherheit führen und damit die Ziele der Richtlinie, die Harmonisierung und Ausbau der Cybersecurity, erreichen. Die Einhaltung der Richtlinie wird zu einem integralen Bestandteil von Compliance und Governance für jede betroffene Einrichtung werden.
Auch wenn noch unklar ist, wie die Umsetzung in nationales Recht bis zum 17. Oktober 2024 genau aussehen wird, sind keine wesentlichen Änderungen gegenüber dem aktuellen Entwurf zu erwarten. Unternehmen sollten sich daher auf eine fristgerechte Umsetzung vorbereiten. Entscheidend ist, sich frühzeitig und proaktiv mit dem Thema auseinanderzusetzen. Es ist weiterhin zu erwarten, dass es Versuche geben wird, die rechtlichen Anforderungen und Verpflichtungen im Rahmen von Verträgen von den Auftraggebern auf die Auftragnehmer abzuwälzen.
Auch wenn der Umsetzungszeitpunkt des 17. Oktober 2024 der NIS2-Richtlinie für viele noch in weiter Ferne zu liegen scheint, empfiehlt es sich, bereits jetzt mit einer compliancekonformen Implementierung der Cybersecurity-Richtlinie auseinanderzusetzen.
Was Sie noch interessieren könnte:
Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung
Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen […]
Interne Mitteilungen über Beschäftigte
Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss […]
EU-US Data Privacy Framework – was lange währt wird endlich gut?
Am 10.07.2023 verabschiedete die EU-Kommission den neuen Angemessenheitsbeschluss für die USA – das Transatlantic Data Privacy Framework, kurz TADPF. […]