Newsletter Daten, IT und Medien

1. Hintergrund und Überblick

Im Ausgangspunkt gilt: Das NIS‑2‑Umsetzungsgesetz erfindet das Cybersicherheitsrecht nicht grundstürzend neu. Die Regelungen bewegen sich weiterhin auf bekannten Bahnen. Bemerkenswert ist bei der Neuregelung aber, dass die NIS‑2‑Umsetzung das Cybersicherheitsrecht in Deutschland in nahezu jeglicher Hinsicht erweitert: Der Anwendungsbereich des Gesetzes wird ausgeweitet, der Pflichtenkatalog der betroffenen Unternehmen erweitert und die Befugnisse der Aufsichtsbehörde geschärft.

Die deutsche Novelle des Cybersicherheitsrechts ist dabei durch die NIS‑2‑Richtlinie europarechtlich vorgegeben. Mit dieser Richtlinie hat der Unionsgesetzgeber bereits im Jahr 2022 auf die Bedrohungslage im Cyberraum reagiert. Den Anlass dafür bot nicht allein die weitergehende digitale Vernetzung unserer Lebens- und Wirtschaftswelt. Maßgeblich war vielmehr auch die ungebremste Zunahme von Cybercrime und dabei insbesondere die teils verheerenden Ransomware‑​Angriffe auf Unternehmen aller Größen und Branchen wie auch auf öffentliche Stellen und Behörden. Auch die Erfahrungen der Pandemie, in der sich wie unter einem Brennglas zugleich das Potential digitaler Lösungen bei der Bewältigung der Ausnahmesituation zeigte wie die Abhängigkeit zahlreicher Lebensbereiche von diesen (und ihren Lieferketten), formten die Motivation für die Neufassung der ersten NIS‑​Richtlinie aus dem Jahr 2016.

Der Bundestag hat nun also das „Gesetz zur Umsetzung der NIS‑2‑Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (BT‑​Drs. 21/1501) beschlossen. Dieses Gesetz bedeutet in erster Linie eine erhebliche Ausweitung des Anwendungsbereichs der Cybersicherheits‑​Regelungen – das BSI schätzt, dass zukünftig ca. 29.000 Unternehmen von den Regelungen betroffen sein könnten (2.). Zum Zweiten werden mit NIS‑2 die Anforderungen an die betroffenen Unternehmen ausgeweitet – dies betrifft sowohl die umzusetzenden Cybersicherheitsmaßnahmen als auch die Meldepflichten bei IT‑​Sicherheitsvorfällen (3.). Als drittes wird das Profil des BSI als Aufsichtsbehörde umgestaltet – neben dem kooperativen Informationsaustausch wird dessen genuin aufsichtsrechtliche Rolle nachhaltig gestärkt einschließlich der Höhe möglicher Bußgelder (4.). Weiter wird die Bedeutung von Cybersicherheit als Geschäftsleitungsaufgabe ausdrücklich gesetzlich verankert (5.). All dies zeigt, dass es höchste Zeit ist für eine Auseinandersetzung mit den Anforderungen von NIS‑2 (6.).

2. Ausweitung des Anwendungsbereichs

Bislang gilt im Cybersicherheitsrecht der Grundsatz: Der gesetzliche Anwendungsbereich ist eröffnet, wenn ein qualitatives Kriterium („Art der Einrichtung“) erfüllt ist und ein quantitatives Kriterium („Schwellenwert“) erreicht ist. Dies gilt im novellierten BSI‑​Gesetz prinzipiell weiterhin. Weiterhin kennt das Gesetz auch sog. kritische Einrichtungen bzw. KRITIS, also Einrichtungen, die eine besondere Kritikalität für die Versorgung der Gesellschaft haben.

Neu ist die Ausweitung des Adressatenkreises durch die NIS‑2‑Umsetzung über diese Gruppe von KRITIS‑​Einrichtungen hinaus. Das BSI‑​Gesetz kennt hier zukünftig auch noch besonders wichtige und („nur“) wichtige Einrichtungen. Damit erfolgt die maßgebliche qualitative und quantitative Ausweitung des Adressatenkreises durch NIS‑2.

Die Bestimmung der Einrichtungsarten erfolgt durch Aufzählungen in den Anhängen zum BSI‑​Gesetz. Dort werden zum einen „Sektoren mit hoher Kritikalität“ aufgezählt, aber auch „sonstige kritische Sektoren“. Diese umfassen unter anderem Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln sowie verarbeitendes Gewerbe bzw. Herstellung von Waren. Hier weitet die Regulierung den Anwendungsbereich qualitativ aus. Direkte Adressaten des Cybersicherheitsrechts werden nun also auch große Teile der prozierenden Industrie.

Die Ausweitung des Anwendungsbereichs erfolgt jedoch nicht nur durch die Adressierung zusätzlicher Wirtschaftssektoren. Auch hinsichtlich des qualitativen Kriteriums werden die Schwellen durch eine Bezugnahme auf wirtschaftliche Kennzahlen des Unternehmens signifikant abgesenkt. Eröffnet sein kann der Anwendungsbereich danach bereits ab einer Zahl von 50 Beschäftigten oder einem Jahresumsatz von 10 Millionen Euro. Gesetzliche Cybersicherheitspflichten werden damit auch ein Thema für zahlreiche kleine und mittelständische Unternehmen. Diese sollten deshalb sorgfältig prüfen, ob nicht bereits einzelne Geschäftsfelder oder eher untergeordnete Aktivitätsbereiche den Anwendungsbereich eröffnen. Der Gesetzgeber will hier zwar eine Ausnahmeregelung schaffen für „vernachlässigbare“ Geschäftstätigkeiten – die Praxistauglichkeit der Regelung wird sich ebenso noch zeigen müssen wie auch ihre Europarechtskonformität.

3. Ausweitung der Cybersicherheitspflichten

Ähnlich wie für die Bestimmung des Anwendungsbereichs gilt auch bei dem Pflichtenkatalog für betroffene Unternehmen nach NIS‑2: Das Prinzip bleibt gleich, aber die Qualität der Pflichten ändert sich erheblich. Es können weiterhin Cybersicherheitspflichten einerseits und Meldepflichten andererseits unterschieden werden.

Die Cybersicherheitspflichten verlangen von den adressierten Unternehmen Maßnahmen zum Risikomanagement. Das Gesetz stellt insoweit risikobasierte Anforderungen auf, die in der Regel nur für den jeweiligen Einzelfall konkretisiert werden können. Einen Anhaltspunkt gibt der ebenfalls im Gesetz enthaltene Katalog an Mindestmaßnahmen des Risikomanagements, der von Sicherheitskonzepten bis Zugriffskontrolle und Multi‑​Faktor‑​Authentifizierung reicht. Ob die im Gesetzestext spürbar erhöhte Detaillierung der Anforderungen an die Sicherheitspflichten den betroffenen Unternehmen zukünftig die IT‑​sicherheitsrechtliche Compliance eher erleichtern wird oder neue Herausforderungen schafft, bleibt abzuwarten.

Bereits klar als Herausforderung erkennbar ist die durch NIS‑2 neugestaltete Meldepflicht bei einem „erheblichen Sicherheitsvorfall“. Das Gesetz sieht hier – noch schärfer als die 72‑Stunden‑​Pflicht der DSGVO bei Datenpannen – eine knappe Frist von 24 Stunden vor, binnen derer ein solcher Vorfall an das BSI gemeldet werden muss. Auf diese schnelle Erstmeldung folgen zukünftig mehrere gestufte Folgemeldungen. Die kurze erste Frist sowie die anschließende Kaskade an Meldepflichten verlangt von den betroffenen Unternehmen kurzfristig – und gegebenenfalls auch noch in einer Ausnahmesituation des IT‑​Ausfalls – eine rechtssichere Handhabung der Anforderungen. Dies sollte vorbereitet und auch geübt werden. Vorgelagert ist die generelle Pflicht zur proaktiven Registrierung beim BSI, sobald die betriebene Einrichtung den NIS‑2‑Anforderungen unterfällt.

4. Neujustieren der Rolle des BSI

Auch das Bundesamt für die Sicherheit in der Informationstechnik, kurz BSI, als zuständige Behörde für Cybersicherheit rückt mit der NIS‑2‑Richtlinie in eine neue Rolle. Zukünftig wird es über ein Instrumentenkasten verfügen, der stärker dem der Datenschutz‑​Aufsichtsbehörden ähnelt. Wie es mit diesem umgehen wird, bleibt abzuwarten.

Neben der gewohnt kooperativen und beratenden Rolle wird das BSI mit NIS‑2 zur klassischen Aufsichtsbehörde für Cybersicherheit. Es kann zukünftig Bußgelder von bis zu 10 Mio. EUR oder 2 % des gesamten weltweiten Umsatzes des Unternehmens, bzw. bis zu 7 Mio. EUR oder 1,4 % des gesamten weltweiten Umsatzes des Unternehmens verhängen. Hier haben die Erfahrungen der DSGVO gezeigt, dass Behörden bei entsprechend gravierenden Verstößen diese Rahmen auch ausschöpfen.

Als Aufsichtsbehörde erhält das BSI zahlreiche Kontroll- und Aufsichtsbefugnisse. Diese reichen von Vor‑​Ort‑​Kontrollen über regelmäßige und gezielte Sicherheitsprüfungen, bis hin zur Befugnis Informationen und dokumentierte Cybersicherheitskonzepte anzufordern oder Zugang zu Daten, Dokumenten und sonstigen Informationen zu verlangen. Weiter darf das BSI beispielsweise Warnungen über Verstöße aussprechen und gegenüber den betroffenen Unternehmen verbindliche Anweisungen aussprechen – bis hin zum vorübergehenden Ausschluss unzuverlässiger Geschäftsleitungen von ihrer Tätigkeit.

5. Neue Pflichten für Geschäftsleitung

Nicht nur die letztgenannte neue Befugnis des BSI zeigt, dass NIS‑2 die Geschäftsleitung betroffener Unternehmen klar in die Pflicht nimmt. Für die Geschäftsleitung hat die Umsetzung der NIS‑2‑Richtlinie unmittelbare Implikationen. Das Gesetz verpflichtet sie explizit zu regelmäßigen Schulungen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können. Darüber hinaus statuiert das neue BSI‑​Gesetz – wohl eher deklaratorisch – eine Haftung der Geschäftsleitung unabhängig bzw. ergänzend zu den jeweiligen gesellschaftsrechtlichen Haftungsregeln, wenn sie gegen die Pflicht verstößt, Risikomanagementmaßnahmen umzusetzen und deren Umsetzung zu überwachen.

6. Ausblick

Der Überblick über die wesentlichen Neuerungen und Erweiterungen des Cybersicherheitsrechts zeigt, dass eine Auseinandersetzung mit den Anforderungen von NIS‑2 nötig und sinnvoll ist – besser spät als nie!

Die Erfüllung der gesetzlichen Anforderungen verlangt keinesfalls nur technische Maßnahmen, deren risikoangemessene Erfüllung allein an die IT‑​Abteilung delegiert werden kann. Spätestens mit den Anforderungen von NIS‑2 muss Cybersicherheit als ganzheitliches Compliance‑​Thema begriffen werden. Die Einhaltung der Vorgaben verlangt rechtssichere Bewertung verschiedener Dimensionen – eine Auseinandersetzung damit im Falle eines Sicherheitsvorfalls ist oft zu spät. Selbst wenn also die Prüfung der Betroffenheit in einigen Unternehmen noch nicht begonnen hat, sollte sie kurzfristig angegangen werden.