Jetzt mit Update zum Regierungsentwurf vom 22.07.2024 !
Neuer Bürokratie-Hammer oder längst fällig?
In Zeiten des digitalen Wandels rückt das Thema der Cybersicherheit, insbesondere für kritische Infrastrukturen, immer mehr in den Fokus der Öffentlichkeit. Es wird von einer signifikant gestiegenen Bedrohungslage für Wirtschaft, Verwaltung und Gesellschaft gesprochen. Dieser Tatsache ist sich auch der europäische Gesetzgeber bewusst. Er hat daher eine Neufassung der NIS-Richtlinie, die sog. NIS2-Richtlinie, erlassen, die Anfang 2023 in Kraft getreten ist. Die Umsetzung in deutsches Recht ist bis zum 17. Oktober 2024 vorgesehen, aber schon jetzt stellt sich die Frage, was auf die Unternehmen zukommt.
Diese Arten von Pflichten dürften den meisten Unternehmen nicht unbekannt sein, da sie mittlerweile zu einem festen Bestandteil eines jeden guten Risikomanagements geworden sind. – Hannah Schöttle
Die NIS2-Richtlinie („The Network and Information Security Directive“, (EU) 2022/2555) befasst sich mit der Cybersicherheit und Informationssicherheit von Unternehmen und Institutionen. Die Richtlinie ist Teil eines Regelungsgefüges zur Gesetzgebung zu digitalen Sachverhalten wie dem EU Artificial Intelligence Act (AIA) (Hier geht’s zum Artikel). Da es sich hierbei um eine Richtlinie der EU handelt, müssen die Mitgliedstaaten diese bis zum 17. Oktober 2024 in nationales Recht umsetzen. Den Mitgliedsstaaten steht es frei das in der NIS2-Richtlinie vorgesehene Cybersicherheitsniveau zu erhöhen, da die Richtlinie nach Art. 5 NIS2-RL explizit mindestharmonisierende Standards darstellt. Zum jetzigen Zeitpunkt wurde in Deutschland ein erster Referentenentwurf des Umsetzungsgesetzes zur NIS2-Richtlinie (NIS2UmsuCG, Bearbeitungsstand: 07.05.2024) veröffentlicht.
Kleiner Hinweis am Rande: Die NIS2-Richtlinie ist systematisch klar von der EU-Resilienz-Richtlinie (Critical Entities Resilience CRE) abzugrenzen. Im Gegensatz zu der NIS2-Richtlinie befasst sich die CRE-Richtlinie mit der Resilienz vor nicht-cyberbezogenen Risiken.
Betroffene Unternehmen und Institutionen
Die Neufassung der NIS-Richtlinie erweitert den Betroffenenkreis erheblich. Jedes Unternehmen muss selbst feststellen, ob es in den Anwendungsbereich fällt. Es gibt keine behördliche Mitteilung über eine etwaige Betroffenheit.
Die betroffenen Unternehmen und Institutionen lassen sich zukünftig voraussichtlich in drei Kategorien einordnen:
- Betreiber besonders wichtiger Einrichtungen (§ 28 Abs. 1 NIS2UmsuCG)
- Betreiber wichtiger Einrichtungen (§ 28 Abs. 2 NIS2UmsuCG)
- Betreiber einer kritischen Anlage (§ 28 Abs. 5 NIS2UmsuCG)
Der Begriff der Einrichtung bezieht sich hierbei auf öffentliche sowie auf private Einrichtungen.
Betreiber einer besonders wichtigen Einrichtung:
Betreiber einer wichtigen Einrichtung:
Betreiber einer kritischen Anlage (KRITIS-Betreiber):
Erbringen Betreiber ihre Dienstleistungen in einem Sektor mit hoher Kritikalität (nach Anlage 1 bzw. § 28 Abs. 6 NIS2UmsuCG) in eigenen Anlagen und überschreiten damit den Schwellenwert (Richtwert: 500.000 versorgte Personen), werden sie als KRITIS-Betreiber eingestuft.
Nicht abschließender Überblick über die Sektoren:
Sektoren mit hoher Kritikalität (nach Anlage 1) | Sonstige kritische Sektoren (nach Anlage 2) |
---|---|
Energie | Anbieter von Post- und Kurierdiensten |
Transport und Verkehr | Abfallwirtschaft |
Finanz- und Versicherungswesen | Chemische Erzeugnisse |
Gesundheitswesen | Lebensmittel |
Trink- und Abwasser | Verarbeitendes Gewerbe/Herstellung von Waren |
Informationstechnik und Telekommunikation | Anbieter digitaler Dienste |
Weltraum | Forschungseinrichtungen |
Beispiel 1: Ihr Unternehmen mit Tätigkeit im Gesundheitswesen beschäftigt 230 Mitarbeitende und hat einen Jahresumsatz von 55 Mio. € sowie eine Jahresbilanzsumme von 45 Mio. €.
Beispiel 2: Ihr Unternehmen ist ein Produzent chemischer Erzeugnisse mit 100 Mitarbeitenden und hat einen Jahresumsatz von 12 Mio. € sowie eine Jahresbilanzsumme von 8 Mio. €.
Unsicher, ob Ihr Unternehmen betroffen ist? Nehmen Sie Kontakt mit uns auf, wir unterstützen Sie gerne mit Ihrer Betroffenheitsanalyse.
Handlungsbedarf: Pflichten und Auswirkungen aus der NIS2-Richtlinie
Die Richtlinie sieht eine Vielzahl an Pflichten vor, die sich grob in folgende Oberbegriffe gliedern lassen:
- Risikomanagement: Auswahl und Identifizierung geeigneter Cybersecurity-Maßnahmen (§§ 30, 31 NIS2UmsuCG)
- unverzügliche Meldepflicht von erheblichen Sicherheitsvorfällen (3 Stufen) (§ 32 NIS2UmsuCG)
- Registrierungspflicht (§ 33 i. V. m. § 60 Abs. 2 Nr. 4 und 5 NIS2UmsuCG)
- Unterrichtungspflichten bei einem erheblichen Sicherheitsvorfall (§ 35 NIS2UmsuCG)
- Billigungs‑, Überwachungs- und Schulungspflicht des Geschäftsleiters (§ 38 NIS2UmsuCG)
- Nachweispflichten über die Erfüllung der Anforderungen gem. §§ 30 Abs. 1, 31 NIS2UmsuCG (§ 39 NIS2UmsuCG)
Der Aspekt der Lieferkette darf insbesondere beim Risikomanagement nicht vernachlässigt werden. So nennt Art. 21 NIS2-RL explizit die „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern“. Dies verdeutlicht, dass die betroffenen Einrichtungen des BSIG (= Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, § 2 Abs. 10 BSGI) in Zukunft klare vertragliche Vereinbarungen mit ihren Dienstleistern treffen müssen, um eine umfassende Umsetzung der Cybersicherheit zu gewährleisten.
Diese Arten von Pflichten dürften den meisten Unternehmen nicht unbekannt sein, da sie mittlerweile zu einem festen Bestandteil eines jeden guten Risikomanagements geworden sind. Sie können weitgehend durch ein Information Security Management System (ISMS, engl. für “Managementsystem für Informationssicherheit”) aufgefangen werden.
Die NIS2-Richtlinie weist deutliche Ähnlichkeiten mit der Datenschutz-Grundverordnung (DSGVO) auf, z.B. in Bezug auf die Struktur, die Sanktionen und die technischen und organisatorischen Maßnahmen (TOMs). Das Thema Cybersicherheit ist eng mit dem Thema Datenschutz verbunden. Nehmen Sie Kontakt zu uns auf, auch zum Thema Datenschutz beraten wir Sie gerne.
Ausweitung der Haftung
Die Neufassung der Richtlinie beinhaltet eine Verschärfung der Sanktionsmaßnahmen. Der Entwurf sieht ebenfalls eine Ausdehnung der Haftung auf die Leitungsorgane der Einrichtungen vor.
Der Bußgeldrahmen bestimmt sich anhand der Einordnung des Unternehmens als eine wesentliche Einrichtung oder eine wichtige Einrichtung. Im Falle einer wesentlichen Einrichtung können Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Diese Sanktionsvorschriften ähneln der der DSGVO. Bei Vorliegen einer wichtigen Einrichtung ist der Rahmen niedriger angesetzt mit einem Höchstbetrag von Bußgeld bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes. Hier ist ebenfalls der höhere Betrag maßgeblich.
Der Referentenentwurf sieht derzeit zusätzlich eine Haftung der Leitungsorgane mit ihrem Privatvermögen für die Einhaltung der Risikomanagementmaßnahmen vor. Es ist besonders wichtig zu beachten, dass diese Verpflichtung nicht durch Beauftragung eines Dritten erfüllt werden kann. Diese Bestimmung betont erneut, was im GmbH- und Aktienrecht längst anerkannt ist: die Verantwortung für Cybersecurity liegt bei der Geschäftsleitung – oder anders ausgedrückt: „Digital Compliance ist Chefsache“.
Update zum neuesten Referentenentwurf vom 24.06.2024:
Die Billigungs‑, Überwachungs- und Schulungspflicht des Geschäftsleiters nach § 38 NIS2UmsuCG wurde nun in eine strengere Umsetzungspflicht des Geschäftsleiters geändert. Dies kann im Zweifelsfall bedeuten, dass die Geschäftsleitung die Risikomanagementmaßnahmen nicht mehr nur genehmigen, sondern auch selbst umsetzen muss.
Eine wesentliche Änderung gab es bei den Haftungsvorschriften. Die Regelung über die Unzulässigkeit eines Vergleichs oder Verzichts etwaiger Ersatzansprüche gegen die Geschäftsleitung wurde ersatzlos gestrichen. Die Haftung der Geschäftsleitung richtet sich nun nach den anwendbaren Regeln des Gesellschaftsrechts (wie bspw. nach § 43 GmbHG oder § 93 AktG). Im Falle einer Verletzung ihrer Umsetzungs‑, Überwachungs- und Schulungspflicht (§ 38 Abs. 1 NIS2UmsuCG) führt das zu dem Resultat eines schuldhaft verursachten Schadens durch die Geschäftsleitung. Eine Haftung nach dem BSIG-neu greift nur, falls die gesellschaftsrechtlichen Bestimmungen keine Haftungsregelungen enthalten. Da das BSIG-neu jedoch keine Haftungsregelungen für die Geschäftsleitung enthält, könnte dies im Zweifel einer gerichtlichen Klärung bedürfen.
Passend hierzu hat die Europäische Kommission einige Tage später den ersten Entwurf für einen Durchführungsrechtsakt veröffentlicht, der die Pflichten für Einrichtungen in den NIS2-Sektoren „Digitale Infrastruktur“, „Anbieter verwalteter Dienste (B2B)“ und „Anbieter digitaler Dienste“ festlegt. Der Entwurf konkretisiert die technischen und methodischen Anforderungen für Risikomanagementmaßnahmen und definiert Kriterien, wann ein Sicherheitsvorfall als „erheblich“ gemeldet werden muss. Der Rechtsakt gilt zwar nur für diese Digitalsektoren, zeigt jedoch eine allgemeine Tendenz der Kommission zur Interpretation von Risikomanagementmaßnahmen, an der sich auch Aufsichtsbehörden orientieren könnten. Aufgrund dessen empfiehlt es sich, sich an dem Maßnahmenkatalog zu orientieren und als Leitfaden für die Umsetzung der Anforderungen an das IT-Risikomanagement (§ 30 NIS2UmsuCG) zu verwenden.
Update zum Regierungsentwurf vom 22.07.2024:
Der Gesetzesentwurf vom 22.07.2024 wurde vom Bundeskabinett am 24.07.2024 angenommen und befindet sich nun im Gesetzgebungsverfahren. Mit dem Entwurf des Umsetzungsrechtsakts NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) überarbeitet der Gesetzgeber das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) grundlegend. Die Verkündung des Gesetzes steht noch aus.
Im Vergleich mit dem letzten Referentenentwurf vom 24.06.2024 gibt es nur kleinere Neuerungen und Anpassungen. Diese beziehen sich vor allem auf Einrichtungen in vereinzelten Sektoren. Beispielsweise stehen Änderungen des Telekommunikationsgesetzes (TKG) und Energiewirtschaftsgesetzes (EnWG), also für den Energie- und Telekommunikationssektor, bevor.
Mit größeren Änderungen ist bis zur Gesetzesverkündung weiterhin nicht zu rechnen. Im Wesentlichen gelten die oben ausführlich beschriebenen Grundsätze weiterhin für alle betroffenen Unternehmen.
Fazit
Die Europäische Union setzt zunehmend auf den Erlass von Verordnungen, Richtlinien und ähnlichen Maßnahmen in digitalen Sachverhalten. Dieser Trend stößt jedoch auch auf Kritik, insbesondere wegen der damit verbundenen Zunahme an Bürokratie und Ressourcen. Einige sehen die Menge an Regelungen als übermäßig an. Trotz des damit verbundenen bürokratischen Aufwands wird Cybersicherheit zu einem immer wichtigeren Thema in der heutigen digitalen Welt. Der Schutz vor Cyberangriffen wird als unerlässlich angesehen.
Erste Schätzungen gehen davon aus, dass ca. 30.000 Unternehmen in Deutschland ihre Sicherheitsmaßnahmen deutlich erhöhen müssen, um den Anforderungen der NIS2-Richtlinie gerecht zu werden. Dies wird zu einer deutlichen Erhöhung der Cybersicherheit führen und damit die Ziele der Richtlinie, die Harmonisierung und Ausbau der Cybersecurity, erreichen. Die Einhaltung der Richtlinie wird zu einem integralen Bestandteil von Compliance und Governance für jede betroffene Einrichtung werden.
Auch wenn noch unklar ist, wie die Umsetzung in nationales Recht bis zum 17. Oktober 2024 genau aussehen wird, sind keine wesentlichen Änderungen gegenüber dem aktuellen Entwurf zu erwarten. Unternehmen sollten sich daher auf eine fristgerechte Umsetzung vorbereiten. Entscheidend ist, sich frühzeitig und proaktiv mit dem Thema auseinanderzusetzen. Es ist weiterhin zu erwarten, dass es Versuche geben wird, die rechtlichen Anforderungen und Verpflichtungen im Rahmen von Verträgen von den Auftraggebern auf die Auftragnehmer abzuwälzen.
Auch wenn der Umsetzungszeitpunkt des 17. Oktober 2024 der NIS2-Richtlinie für viele noch in weiter Ferne zu liegen scheint, empfiehlt es sich, bereits jetzt mit einer compliancekonformen Implementierung der Cybersecurity-Richtlinie auseinanderzusetzen.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]