Rufen Sie mich an: 0261 - 404 99 45
E-Mail:
Die NIS-2-Richtlinie („The Network and Information Security [NIS] Directive“) ist Anfang 2023 in Kraft getreten und muss eigentlich bis zum 17.10.2024 in nationales Recht umgewandelt werden. Diese gestaltet die Anforderungen zu Cyber- und Informationssicherheit neu aus und erhebt solche für viele tausend Unternehmen damit erstmalig zur gesetzlichen Pflicht. Die NIS 2-RL schreibt unter anderem Mindestmaßnahmen zum unternehmerischen Risikomanagement sowie Meldepflichten gegenüber staatlichen Stellen bei IT-Sicherheitsvorfällen, eine Verschärfung der Sanktionen und Haftungsregime der Geschäftsleitungen vor. So soll das Cybersicherheitsniveau in den Mitgliedstaaten angehoben und vereinheitlicht werden. Die Besonderheit ist, dass sich NIS 2 nicht auf größere Einrichtungen begrenzt, sondern auch die breite Masse des Mittelstandes ins Visier nimmt.
Der Anwendungsbereich von NIS 2 geht weit über kritische Infrastrukturen hinaus und schließt eine Vielzahl von Sektoren ein. Unter die einschlägigen besonders wichtigen und wichtigen Einrichtungen fallen exemplarisch Unternehmen in den Bereichen Energie, Luft-, Schien-, Straßen und Schiffsverkehr, Finanzwesen, Gesundheit, Wasser, Informationstechnik und Telekommunikation, Transport und Verkehr, Abfallwirtschaft, chemische Erzeugnisse oder Lebensmittel, verarbeitendes Gewerbe bzw. Herstellung von Waren, digitale oder IT-Dienste. Gesetzlich ist hier eine breit gefächerte Auflistung der betroffenen Zweige in zwei Anlagen vorgesehen, was umfangeiche Teile der Wirtschaft einschließt. Dabei entspricht es der Sorgfalt des Mittelständlers, sich der eigenen unternehmerischen Betroffenheit möglichst vor dem Inkrafttreten des Gesetzes zu vergewissern.
Eine gewisse Beschränkung des Anwendungsbereichs schafft der Gesetzgeber durch bestimmte Schwellenwerte für mittlere Unternehmen. Danach hängt die Betroffenheit der fraglichen Einrichtung davon ab, ob 50 Personen oder mehr in dem Unternehmen (bei einer besonders wichtigen Einrichtung 250 Mitarbeiter oder mehr) beschäftigt sind oder dieses einen Jahresumsatz von mehr als 10 Mio. EUR erzielt und eine Jahresbilanzsumme von über 10 Mio. EUR aufweist (bei einer besonders wichtigen Einrichtung 50 Mio. EUR Jahresumsatz sowie eine Jahresbilanzsumme von mehr als 43 Mio. EUR). Abweichungen beinhaltet der mittlerweile sechste deutsche Gesetzesentwurf hier für Anbieter und Betreiber öffentlich zugänglicher Telekommunikationsdienste oder öffentlicher Telekommunikationsnetze.
Es werden also alle Unternehmen eingeschlossen, die in einem der fraglichen Anhänge als besonders wichtige bzw. wichtige Einrichtungen aufgeführt sind und die Mindestschwellenwerte überschreiten.
Abgesehen davon gelten Besonderheiten für Unternehmen, welche kritische Anlagen betreiben oder (qualifizierte) Vertrauensdienstanbieter, Top Level Domain Name Registries bzw. DNS-Diensteanbieter sind. Für diese gelten keine Schwellenwerte. Die entsprechenden Unternehmen sind also unabhängig von Ihrer Größe in den jeweiligen Bereichen gesetzlich erfasst.
Das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) geht davon aus, dass hierzulande schätzungsweise 8.250 Unternehmen als besonders wichtige und 21.600 Unternehmen als wichtige Einrichtungen von dem Gesetz betroffen sein werden. Dies macht insgesamt knapp 30.000 Unternehmen. Für die Wirtschaft soll sich der jährliche Erfüllungsaufwand um rund 2,3 Milliarden EUR erhöhen.
Die Unternehmen müssen sicherstellen, dass geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen getroffen werden, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Der Gesetzgeber wählt dabei einen im Ausgangspunkt offenen, eher allgemein gehaltenen Ansatz, worunter jedenfalls die drei bekannten wesentlichen Säulen zur Informationssicherheit fallen: Verfügbarkeit, Integrität und Vertraulichkeit. Die Einhaltung dieser Verpflichtung ist außerdem unternehmerisch zu dokumentieren.
1.
Darüber hinaus sind weitergehende Mindestmaßnahmen zum unternehmerischen Risikomanagement umzusetzen. Darunter fallen beispielsweise ein unternehmerisches Konzept zu Risikoanalyse, Backup-Management im Notfall, grundlegende Verfahren zu Cyberhygiene sowie Schulungen zu Themen der Cybersicherheit, Zugangskontrollkonzepte wie auch der Einsatz von Kryptografie und Verschlüsselung. Einzelheiten ergeben sich aus § 30 Abs. 2 des jüngsten Gesetzesentwurfs. Hier sollte überprüft werden, ob die Vorgaben bereits der eigenen unternehmerischen Praxis entsprechen.
Interessant ist, dass zu diesen gesetzlichen Mindestmaßnahmen über die Perspektive des einzelnen Unternehmers hinaus auch die Sicherheit in der Lieferkette gerechnet wird. Hierbei soll dem Gedanken der Abhängigkeit und somit zugleich des wechselseitigen Gefährdungspotentials Rechnung getragen werden. Mögen die Schutzstandards im Unternehmen „X“ noch so hoch sein, so hilft dies nur bedingt, wenn es unzureichenden Standards des Unternehmens „Y“ in der Lieferkette ausgesetzt ist. Konkret umrissen wird das gesetzliche Pflichtenprogramm aber freilich nicht. Hier besteht die Gefahr, dass die „größeren Unternehmen“ ihre Vertragswerke innerhalb der Lieferkette weitergeben und sie anderen Unternehmen aufdiktieren. Dies betrifft dann nicht zuletzt auch „kleine Unternehmen“ unterhalb der dargestellten Schwellenwerte, auf die NIS 2 in der Lieferkette ebenfalls durchschlagen wird.
2.
Kommt es zu erheblichen IT-Sicherheitsvorfällen, schreibt NIS 2 insbesondere ein mehrstufiges System an Meldepflichten des Unternehmens gegenüber einer vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe einzurichtenden gemeinsamen Meldestelle vor:
In einem ersten Schritt hat das Unternehmen spätestens 24 Stunden nach Kenntniserlangung eine sog. erste Frühmeldung abzugeben, ob der Verdacht besteht, dass der Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist und auch grenzüberschreitende Auswirkungen haben könnte. Innerhalb von 72 Stunden nach Kenntniserlangung hat das Unternehmen alsdann eine weitere Meldung zu übermitteln, die diese Informationen bestätigt oder aktualisiert sowie gleichzeitig eine erste Bewertung des erheblichen IT-Sicherheitsvorfalls angibt. Spätestens einen Monat später muss das Unternehmen noch eine Abschlussmeldung mit einer detaillierten Beschreibung des Vorfalls an die Meldestelle übermitteln. Diese muss ebenfalls Informationen über die Art der Bedrohung und die zugrundeliegende Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat, sowie Angaben zu getroffenen und laufenden Abhilfemaßnahmen enthalten.
Es scheint für die betroffenen Unternehmen hier nicht nur ratsam, sondern unumgänglich, diese neuen abgestuften Meldepflichten schon im Vorfeld zu verinnerlichen und intern zu erproben, um nicht bei IT-Zwischenfällen von den knappen Meldezeitspannen übermannt zu werden. Abläufe sollten gestaltet und Bereitschaftsdienste eingerichtet werden. Dabei kann es sich für manches Unternehmen um völliges Neuland handeln.
3.
NIS 2 verlangt schließlich auch eine Registrierung der betroffenen Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI).
An der Stelle kommt die gesetzliche Unterscheidung zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen zum Tragen. Diese drückt sich darin aus, dass bei „wichtigen Einrichtungen“ geringere Geldstrafen bei Verstößen vorgesehen sind und diese nur in Verdachtsfällen nachträglichen (reaktiven) Aufsichtsmaßnahmen unterliegen, während dem Bundesamt bei „besonders wichtigen Einrichtungen“ auch jederzeitige präventive (proaktive) Aufsichtsbefugnisse zustehen.
1.
Bei „besonders wichtigen“ Einrichtungen kann das Bundesamt Präventivkontrollen (etwa in Form von Vor-Ort-Kontrollen) durchführen. Das betroffene Unternehmen hat dem Bundesamt und den in dessen Auftrag handelnden Personen zur Überprüfung das Betreten der Geschäfts- und Betriebsräume zu den üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Sollte das Bundesamt im Vorfeld berechtigte Zweifel gehabt haben, ob das jeweilige Unternehmen die NIS 2-Vorgaben einhält, so kann es dem Unternehmen hier seine Gebühren und Auslagen in Rechnung stellen.
Bei „wichtigen“ Einrichtungen gibt es keine anlasslosen Vorabkontrollen. Hier können Maßnahmen nur dann (nachträglich) getroffen werden, wenn Tatsachen die Annahme rechtfertigen, dass eine wichtige Einrichtung die Anforderungen nach NIS 2 nicht oder nicht richtig umsetzt.
2.
Verstöße gegen die NIS 2-Vorgaben sollen bußgeldbewehrt sein. Die Bußgeldtatbestände finden sich im Einzelnen in § 67 des jüngsten deutschen Referentenentwurfs.
Bei „besonders wichtigen“ Einrichtungen soll die Bußgeldhöhe hier bis zu 10 Mio. EUR oder bei einem Jahresumsatz von mehr als 500 Mio. EUR bis zu 2 Prozent des Jahresumsatzes betragen. Für „wichtige“ Einrichtungen sind insofern Höchstbeträge von sieben Mio. EUR oder 1,4 Prozent des Jahresumsatzes vorgesehen. Ausschlaggebend ist jeweils der weltweit erzielte Jahresumsatz des Unternehmens aus dem Geschäftsjahr, das dem Verstoß vorausgegangen ist.
3.
Schließlich stehen Maßnahmen gegen die Geschäftsleitungen im Mittelpunkt. NIS 2 sieht dabei eine Haftbarmachung der Geschäftsleitungen (Geschäftsführung/Vorstand) einrichtungsübergreifend vor.
Hintergrund ist, dass gerade die Geschäftsleitungen dazu verpflichtet sein sollen, die unternehmerisch zu ergreifenden Risikomanagementmaßnahmen zur Cybersicherheit zu billigen sowie ihre Umsetzung zu überwachen. Diese werden als verantwortliche Organe gesetzlich ausgemacht.
Darüber hinaus kann den Geschäftsleitungen „besonders wichtiger“ Einrichtungen sogar die Ausübung ihrer Leitungsaufgaben vorübergehend untersagt werden, wenn die Unternehmen den Anordnungen des Bundesamtes trotz Fristsetzung nicht nachkommen. Diese Untersagung soll so lange gelten, bis die erforderlichen Maßnahmen getroffen werden und der unternehmerische Verstoß beseitigt wird.
Die NIS 2-RL und ihre Umsetzung begrenzen sich nicht auf (börsennotierte) Großunternehmen. Gerade für den ebenfalls eingeschlossenen Mittelstand sind die Auswirkungen zum Teil noch gar nicht genau absehbar. Die vorhandenen Unsicherheiten vieler Unternehmen sind hier durchaus nachvollziehbar, Angst oder Panik jedoch der falsche Weg. Vielmehr sollte sich nicht zuletzt der Mittelstand bestmöglich für das neue Gesetz wappnen. Ob der deutsche Gesetzgeber die europäische Umsetzungsfrist bis zum 17.10.2024 einhalten kann, bleibt freilich abzuwarten und ist – Stand jetzt – zweifelhaft.
Weitergehend zu diesem Themenkreis widmet sich auch mein Artikel Sechster Referentenentwurf konkretisiert die neuen Unternehmens-Cybersicherheitsanforderungen nach NIS 2.
Die Ausführungen stellen erste Informationen dar, die zum Zeitpunkt der Erstveröffentlichung aktuell waren. Die Rechtslage kann sich seitdem geändert haben. Zudem können die Ausführungen eine individuelle Beratung zu einem konkreten Sachverhalt nicht ersetzen. Bitte nehmen Sie dazu Kontakt mit uns auf.