Neue Cybervorschriften für Kritische Einrichtungen in Deutschland – Cybersicherheit wird rechtlich zur Chefsache

Viele Unternehmen verorten das Thema Cybersicherheit nicht bei der Geschäftsführung – ein Gesetz wird dies aber bald vorschreiben.

Gesetz zur Umsetzung der NIS-2-Richtlinie

Im Januar 2023 trat auf europäischer Ebene eine Richtlinie für ein hohes gemeinsames Cybersicherheitsniveau in der Union (auch NIS-2-RL) in Kraft. Diese Richtlinie ist Teil einer gesamteuropäischen Offensive, die die Cyberresilienz der europäischen Wirtschaft massiv stärken soll. Zudem soll die Vereinheitlichung der IT-Sicherheitsvorschriften potentiell wettbewerbsverzerrende Unterschiede zwischen den Mitgliedsstaaten beseitigen, die die Mitgliedstaaten zur Einführung laxer Regelungen motivieren könnten.

Die NIS-2-RL verpflichtet die Mitgliedstaaten dazu, ihre nationalen Vorschriften zur Cybersicherheit in Kritischen Einrichtungen erheblich zu verschärfen. Das übergeordnete Ziel ist die Verhinderung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die diese Einrichtungen für die Erbringung ihrer Dienste nutzen. Zusätzlich sollen die Auswirkungen von Sicherheitsvorfällen auf ihre oder andere Dienste beseitigt oder zumindest vermindert werden.

Die Umsetzung der Richtlinie in deutsches Recht ist im sog. NIS-2-Umsetzungsgesetz geplant. für das erste Details in einem noch nicht abgestimmten Referentenentwurf vorliegen. Der Entwurf zeigt schon durch seinen Umfang von mehr als 240 Seiten die hohe Relevanz dieser Regulierungsänderung.

Es zeichnet sich ab, dass das Umsetzungsgesetz das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und damit die gesamte IT-Sicherheitsrechtsarchitektur revolutionieren wird. Im Folgenden erhalten Sie einen ersten Einblick in die wichtigsten Neuerungen:

Wen das Gesetz betreffen wird

Die neuen Regelungen soll für die Betreiber kritischer Anlagen, besonders wichtiger Einrichtungen und „nur“ wichtiger Einrichtungen gelten. Die Aufteilungen der betroffenen Unternehmen in diese drei Kategorien ist neu und trägt dem Umstand Rechnung, dass für Unternehmen je nach Größe und Kritikalität unterschiedlich weitreichende Pflichten gelten sollen. Gleichzeitig wird hierdurch der Anwendungsbereich des BSIG verbreitert, sodass die dortigen Pflichten für eine größere Vielzahl von Unternehmen relevant sein werden.

Zu den kritischen Anlagen sollen Anlagen der Sektoren Energie, Verkehr und Transport, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Digitale Infrastruktur sowie Siedlungsabfallentsorgung gehören, soweit sie von hoher Bedeutung für das Allgemeinwesen sind. Diese Anlagen fallen gegenwärtig bereits unter den Begriff der kritischen Infrastrukturen. Genaueres soll weiterhin die BSI-KritisV regeln.

Unter den Begriff der besonders wichtigen Einrichtungen fallen die Betreiber der genannten kritischen Anlagen. Zudem sollen zukünftig Großunternehmen mit mindestens 250 Mitarbeitern oder einem Jahresumsatz von mindestens 50 Mio. EUR und einer Jahresbilanzsumme von mindestens 43 Mio. EUR erfasst sein, wenn sie in von der BSI-KritisV bestimmten Bereichen tätig sind, wozu auch die Verwaltung von IKT-Diensten (B2B) und der Weltraum zählen. Hinzu kommen weitere Online-Dienstleister, qualifizierte Vertrauensdienstleister und mittlere Telekommunikationsunternehmen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils mindestens 10 Mio. EUR.

Die Kategorie der wichtigen Einrichtungen erfasst insbesondere die bisherigen „Unternehmen im besonderen öffentlichen Interesse“. Das umfasst die mittleren Unternehmen, die in den genannten Sektoren tätig sein, sowie mittlere und Großunternehmen bestimmter Einrichtungsarten im Sinne der BSI-KritisV. Diese umfassen etwa Logistik, Produktion, Anbieter digitaler Dienste und Forschung. Außerdem sollen sog. Vertrauensanbieter und die Hersteller und Entwickler von Gütern von bestimmten Waffenprodukten und IT-Sicherheitsprodukten erfasst werden.

Risikomanagementprozesse

Auf die Unternehmen kommen neue Risikomanagement-Vorschriften zu, die die bisherigen Pflichten aus dem BSIG weit übersteigen. Weiterhin soll die Pflicht bestehen, verhältnismäßige technische und organisatorische Maßnahmen zu ergreifen. Das Umsetzungsgesetz spezifiziert dies durch einen Katalog von zehn Elementen vor, die als Mindestbestandteile eines angemessenen Risikomanagementansatzes gelten sollen. So werden betroffene Unternehmen etwa Ansätze für ihre Risikoanalyse, die Lieferkettensicherheit, den Einsatz von Kryptografie und Verschlüsselung und Personalsicherheit entwickeln und vorweisen müssen.

Hilfreich können weiterhin die sogenannten Branchenspezifischen Sicherheitsstandards sein. Das Risikomanagement soll sich u.a. auf die Bewältigung von Sicherheitsvorfällen, die Sicherheit in der Lieferkette und die Aufrechterhaltung des Betriebs bei Störungen (Business-Continuity-Management) beziehen. Dessen Umsetzung muss im 2-Jahres-Turnus nachgewiesen werden.

Transparenzpflichten

Ein „Hebel“ für die Erhöhung der Cyberresilienz soll die Herstellung von Transparenz gegenüber dem zuständigen Bundesamt als auch den Kunden sein. Zu diesem Zweck sollen die bereits bestehenden Meldepflichten ausgebaut werden.

Bei erheblichen Sicherheitsvorfällen soll in Zukunft eine gestufte Meldepflicht an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gelten. Unverzüglich und spätestens 24 Stunden nach Kenntnis vom Vorfall muss eine Erstmeldung erfolgen. Bis zur verpflichtenden Abschlussmeldung sind weitere Zwischenmeldungen vorgesehen. Gleichzeitig soll aber auch das Bundesamt zur Antwort und Unterstützung verpflichtet werden. Zugleich soll es sich bei Sicherheitsvorfällen aber auch an die Öffentlichkeit wenden dürfen, wenn eine Sensibilisierung der Öffentlichkeit erforderlich ist

Weiterhin sollen bußgeldbewehrte Registrierungspflichten für wichtige und besonders wichtige Einrichtungen sowie kritische Anlagen gelten, wobei diese Pflicht spätestens bis zum ersten Werktag befolgt werden muss, der darauffolgt, dass eine Anlage erstmalig oder erneut zur kritischen Anlage „heranwächst“. Für Anbieter von bestimmten Online-Diensten soll eine besondere Registrierungspflicht gelten. Besonders wichtige Einrichtungen soll außerdem eine Pflicht zum regelmäßigen Nachweis der Einhaltung bestimmter Sicherheitsvorschriften gelten.

Schließlich soll das Bundesamt Einrichtungen dazu anweisen können, dass sie die Empfänger ihrer Dienste über einen geschehenen erheblichen Sicherheitsvorfall unterrichten, der die Erbringung ihrer Dienste beeinträchtigen könnten. Einrichtungen bestimmter Branchen (Bankenwesen, Digitale Infrastruktur, Verwaltung von Internet- und Kommunikationsdiensten sowie Digitale Dienste) müssen die Empfänger ihrer Dienste zudem von erheblichen Cyberbedrohungen sowie diesbezüglichen Maßnahmen unterrichten. Diese Pflicht steht jedoch unter einem Vorbehalt, dass das Informationsinteresse der Empfänger die Interessen der Einrichtung überwiegt.

Compliance-Aufgabe Cybersicherheit

Neu und aufsehenerregend ist die direkte Verpflichtung der Geschäftsleitung wichtiger und besonders wichtiger Einrichtungen. Die Geschäftsleiter sollen verpflichtet werden, die ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen. Im Falle der Verletzung dieser Pflichten, sollen sie persönlich schadensersatzpflichtig sein, wobei ein Verzicht der Einrichtung auf ihre Ersatzansprüche oder ein Vergleich grundsätzlich unwirksam sein soll. Das Umsetzungsgesetz geht damit sogar über die Vorgaben der Richtlinie hinaus, die hierzu keine zwingende Norm vorsieht. Außerdem müssen die Geschäftsleiter regelmäßig Schulungen absolvieren, um über ausreichende Kenntnisse zur Bewertung des Risikomanagements zu verfügen.

Die Richtlinie und das Umsetzungsgesetz folgen damit dem Trend, die Geschäftsleiter sämtlicher Ressorts dazu zu verpflichten, sich der Cybersicherheit zu widmen. Eine vollständige Delegation der Compliancepflichten auf nur ein Mitglied der Geschäftsleitung oder gar eine Fachabteilung wird damit ausgeschlossen sein.

Sanktionen

Insbesondere die geplanten Sanktionen machen deutlich, dass es die Gesetzgeber mit ihrem Vorhaben, die Cyberresilienz zu stärken, sehr ernst meinen. Waren Verstöße in diesem Bereich bisher allenfalls über Art. 32 DSGVO zu ahnden wird jetzt zugleich der Bußgeldkatalog für die Gewährleistung der IT-Sicherheit für die verschiedenen Einrichtungskategorien angepasst. Angestrebt wird eine Sanktionspraxis entsprechend der DS-GVO. Bußgelder drohen etwa bei verspäteten Nachweisen über die Umsetzung der Risikomanagementmaßnahmen, aber auch bei verspäteten Meldungen von Sicherheitsvorfällen. Für einige Verstöße drohen Sanktionen für Unternehmen von bis zu 20 Millionen EUR. Neu wird sein, dass sich die Geldbuße bei einigen Verstößen auch am weltweiten Umsatz der Unternehmen bemisst.

Erste Einschätzung

Das Umsetzungsgesetz zur NIS-2-Richtlinie stellt eine weitreichende Reform des IT-Sicherheitsrechts dar. Neben den wachsenden Pflichten wird zudem die Haftung verschärft. Die Möglichkeit ein Bußgeld anhand des weltweiten Umsatzes zu bemessen mag drastisch erscheinen, aber spiegelt die Bedeutung der IT-Sicherheit für die Grundlagen des wirtschaftlichen und sozialen Lebens wider. Die geplante Haftung des Vorstands für die Cybersicherheit stellt allerdings einen Quantensprung für die Verantwortung der Leitungsebene dar. Die fehlende Möglichkeit der Delegation zeigt, dass der Gesetzgeber den Eindruck hat, dass die IT Sicherheit bislang von Unternehmen vernachlässigt worden ist. Mit diesen Regelungen dürfte zudem eine strafrechtliche Garantenhaftung mehr in den Fokus geraten. Unternehmen sind nicht zuletzt auf diesem Grund gut beraten, sich früh mit dem neuen Setup vertraut zu machen.