Die Bedrohungen für Daten, Netzwerke und IT-Infrastrukturen nehmen stetig zu. Die Schäden durch die immer häufiger auftretenden IT-Sicherheitsvorfälle betrugen allein in Deutschland im Jahr 2023 über 200 Milliarden Euro. Die Europäische Union hat auf diese Entwicklung mit der sog. NIS-2-Richtlinie reagiert. Mit ihr führt sie strengere Vorgaben für die IT-Sicherheit in der EU ein. Der deutsche Gesetzgeber wird in Kürze ein nationales Umsetzungsgesetz erlassen. Ein Regierungsentwurf für dieses sog. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, dessen Kern die Reform des BSI-Gesetzes ist (nachfolgend BSIG-E), liegt bereits vor (abrufbar unter: https://dserver.bundestag.de/brd/2024/0380-24.pdf).
Nach der Gesetzesänderung sind deutlich mehr Unternehmen als bisher rechtlich verpflichtet, IT-Sicherheitsmaßnahmen zu ergreifen. NIS-2 gilt insbesondere nicht nur für Betreiber kritischer Infrastrukturen, sondern kann etwa auch Maschinenbauunternehmen oder generell Unternehmen betreffen, die Produkte herstellen. Statt der bislang ca. 5.000 Unternehmen, sind künftig etwa 30.000 Unternehmen zur Beachtung des IT-Sicherheitsrechts verpflichtet. Die gesetzlichen Pflichten sind umfangreich. Betroffene Unternehmen müssen technische und organisatorische Maßnahmen ergreifen, um Störungen der informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Die Geschäftsleitung ist verpflichtet, diese Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen. Daneben enthält NIS-2 weitgehende Meldepflichten im Fall von Sicherheitsvorfällen. Verstöße gegen die gesetzlichen Pflichten sind mit hohen Bußgeldern bedroht. In Einzelfällen kann das Bußgeld bis zu 2 Prozent des weltweiten Jahresumsatzes betragen.
Nachfolgend haben wir die wesentlichen Inhalte des Regierungsentwurfs für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für Sie zusammengefasst.
Wesentliche Inhalte von NIS-2
1. Anwendungsbereich
NIS-2 verpflichtet deutlich mehr Unternehmen als bislang zu IT-Sicherheitsmaßnahmen. Das BSIG-E gilt für wichtige und besonders wichtige Einrichtungen. Ein Unternehmen ist bereits dann eine wichtige Einrichtung, wenn es mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist und in einem der folgenden Sektoren tätig ist:
- Energie
- Transport und Verkehr
- Finanzwesen
- Gesundheit
- Wasser
- Digitale Infrastruktur
- Weltraum
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
Beschäftigt ein Unternehmen mindestens 250 Mitarbeiter oder weist einen Jahresumsatz von über 50 Millionen Euro sowie eine Jahresbilanzsumme von über 43 Millionen Euro auf und ist es in einem der Sektoren Energie, Transport und, Verkehr, Finanzwesen, Gesundheit, Wasser, Digitale Infrastruktur oder Weltraum tätig, handelt es sich sogar um eine besonders wichtige Einrichtung. Damit gehen noch weitergehende IT-Sicherheitspflichten einher.
Nicht jede Sektorentätigkeit führt zwingend zur Anwendbarkeit des BSIG-E. Entscheidend sind im Einzelfall die Branche und die Einrichtungsart. Unternehmen, die die oben genannten Schwellenwerte hinsichtlich Mitarbeiteranzahl bzw. Jahresumsatz und Jahresbilanzsumme übertreffen oder in den genannten Sektoren tätig sind, sollten in jedem Fall genau prüfen, ob sie künftig gesetzlich zu IT-Sicherheitsmaßnahmen verpflichtet sind. In Einzelfällen sind Unternehmen auch unabhängig von den genannten Schwellenwerten und Sektoren vom Anwendungsbereich des BSIG-E erfasst (z. B. Anbieter von Telekommunikationsdiensten).
Doch auch wenn ein Unternehmen die oben genannten Schwellenwerte nicht erreicht, ist Vorsicht geboten. So sind vom Anwendungsbereich erfasste Unternehmen verpflichtet IT-Sicherheitsanforderungen auch an Klein- und Kleinstunternehmen weiterzugeben, um für Sicherheit der Lieferkette zu sorgen. Dadurch können im Ergebnis auch kleinere Unternehmen mittelbar die Pflichten aus NIS-2 treffen. Unternehmen, die unter NIS-2 fallen, müssen ihrerseits ihre vertraglichen Vereinbarungen mit Zulieferern und Subunternehmen aktualisieren und Vereinbarungen zur Einhaltung von IT-Sicherheit mit Vertragspartnern treffen.
2. Pflichten von Unternehmen
NIS-2 verpflichtet zu einer Vielzahl sog. Risikomanagementmaßnahmen. Dazu zählen etwa die Einführung eines Information Security Management System (ISMS), die Durchführung von Risikoanalysen sowie Maßnahmen zur Bewältigung von Sicherheitsvorfällen, zur Gewährleistung von Sicherheit der Lieferkette oder zur sogenannten Cyberhygiene im eigenen Unternehmen (z. B. sichere Passwörter, Zugriffsbeschränkungen, Backupkonzepte etc.).
Wichtig wird für Unternehmen sein, diese Maßnahmen genau zu dokumentieren, um sich im Falle eines entsprechenden Sicherheitsvorfalls entlasten zu können. Insgesamt kann es für betroffene Unternehmen dabei sinnvoll sein, sich nach ISO 27001 zertifizieren zu lassen.
Bei der Umsetzung der zu ergreifenden Risikomanagementmaßnahmen wird die Geschäftsleitung in die Pflicht genommen. Sie muss dafür sorgen, dass die Risikomanagementmaßnahmen im Unternehmen auch tatsächlich umgesetzt werden und die Umsetzung überwachen. Damit die Geschäftsleitung dazu in der Lage ist, muss sie regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken im Bereich der IT-Sicherheit zu erlangen.
Sollte es trotz aller Maßnahmen dennoch zu einem erheblichen Sicherheitsvorfall kommen, bestehen Meldepflichten. Eine frühe Erstmeldung muss das Unternehmen bereits innerhalb von 24 Stunden (!) nach Kenntniserlangung bei der zuständigen Aufsichtsbehörde (dem BSI) melden. Die Meldepflichten sind sehr kurz bemessen. Sie nehmen dabei keine Rücksicht auf bevorstehende Wochenenden, Feiertage, Urlaube oder ähnliches. Der Erstmeldung muss anschließend innerhalb von 72 Stunden nach Kenntniserlangung eine umfassende Meldung folgen.
3. Rechtsfolgen bei Verstößen
Bei Verstößen gegen die Pflichten nach dem BSIG-E drohen den betroffenen Unternehmen hohe Geldbußen. Je nach Verstoß beträgt das Bußgeld bis zu 10 Millionen Euro. Allerdings kann die Bußgeldbehörde im Einzelfall sogar noch deutlich höhere Geldbußen verhängen. Der Regierungsentwurf sieht vor, dass der Bußgeldrahmen bei einzelnen Rechtsverstößen umsatzbezogen bestimmt werden kann. Bei wichtigen Einrichtungen mit einem Jahresumsatz von mehr als 500 Millionen Euro kann der Bußgeldrahmen bis zu 1,4 % des weltweiten Jahresumsatzes betragen, bei besonders wichtigen Einrichtungen mit einem Jahresumsatz von mehr als 500 Millionen Euro sogar bis zu 2 % des weltweiten Jahresumsatzes.
Diese Sanktionen werden durch umfangreiche Aufsichts- und Anordnungsbefugnisse des BSI ergänzt. Als letztes Mittel kann das BSI sogar unzuverlässigen Geschäftsleitungen die Ausübung der Tätigkeit vorübergehend untersagen.
Äußerst kontrovers diskutiert wird nach wie vor die Frage nach der Haftung der Geschäftsleitung. Die Haftung der Geschäftsleitung richtet sich im aktuellen Gesetzesentwurf nach den bereits geltenden Regeln des Gesellschaftsrechts (z. B.§ 43 GmbH oder § 93 AktG). Soweit für die Einrichtung nach den anwendbaren gesellschaftsrechtlichen Bestimmungen keine Binnenhaftung der Geschäftsleitung besteht, ergibt diese sich aus dem BSIG-E. Die Geschäftsleitung sollte das Gesetzgebungsverfahren insoweit besonders aufmerksam verfolgen. Außerdem ist es ratsam frühzeitig zu prüfen, ob bestehende (D&O-)Versicherungen auch Pflichtverstöße im Bereich IT-Sicherheit erfassen.
4. Fazit
Deutschland muss die NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Das deutsche NIS-2-Umsetzungsgesetz wird daher schon bald in Kraft treten. Unternehmen sollten daher vorsorglich prüfen (lassen), ob Ihr Unternehmen unmittelbar von NIS-2 betroffen ist. Ist dies der Fall, müssen sich betroffene Unternehmen schnellstmöglich mit den umfangreichen Pflichten nach NIS-2 vertraut machen und mit deren Umsetzung beginnen. Dabei ist es sinnvoll, möglichst rasch eine umfassende Bewertung der aktuellen IT-Sicherheitsmaßnahmen im Unternehmen vorzunehmen, um zu ermitteln, welche weiteren Schritte ergriffen werden müssen, um NIS-compliant zu sein.
Gerne unterstützen wir Sie bei Fragen und bei der Umsetzung der neuen Regelungen.
Dr. Markus Spitz Dr. Michael Wenzel
Praxisgruppe IT & Datenschutzrecht Praxisgruppe Öffentliches Recht
+49 (0) 621 42 56-220 +49 (0) 621 42 56-228
Markus.Spitz@rittershaus.net Michael.Wenzel@rittershaus.net
Die Autoren danken Herrn Joshua Espe für die Unterstützung bei der Erstellung dieses Beitrags.