NIS2UmsuCG: Zur Umsetzung der NIS2-Richtlinie liegt inzwischen der Referentenentwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz –
NIS2UmsuCG) vor.
Es zeichnet sich ab, dass das BSI-Gesetz sich verändern wird: Ursprünglich angetreten, um die Kompetenzen und Maßnahmen des BSI zu regeln, wandelt es sich immer mehr zum Cybersicherheits-Regelungswerk. Dies war mit dem IT-Sicherheitsgesetz schon absehbar, wurde mit dem IT-Sicherheitsgesetz 2.0 aufgebohrt und wird nun auf ein vollkommen neues Level gehoben. Insbesondere die Privatwirtschaft muss sich warm anziehen.
Hinweis zum laufenden Stand des Gesetzgebungsverfahrens: Eigentlich muss die NIS2-Richtlinie bis Mitte Oktober umgesetzt sein. Es gibt aber erst seit Mai 2024 überhaupt Referentenentwürfe, was bereits Zweifel daran weckt, ob das rechtzeitig was wird. Mit Blick hierauf wurde ein Absatz dazu aufgenommen, was eine verspätete Umsetzung bedeutet. Der Artikel wurde auf den Stand des zweiten Referentenentwurfs (Bearbeitungsstand: 24.06.2024) gebracht.
NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz: Ausbau des BSI-Gesetzes
Das BSI-Gesetz kommt derzeit in der Nummerierung bis §15, freilich haben einige Paragrafen mehrere Buchstaben, sodass es insgesamt etwas mehr Normen sind. Gleichwohl sagt es etwas aus, wenn man indessen sieht, dass die Nummerierung zukünftig über §60 BSIG hinausgehen soll – dass ein solcher Umfang auch Auswirkungen auf den Alltag hat, drängt sich auf.
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie ist eine Initiative der Europäischen Union, die darauf abzielt, ein hohes gemeinsames Niveau der Netzwerk- und Informationssicherheit in allen Mitgliedstaaten sicherzustellen. Sie ist die Nachfolgerin der ersten NIS-Richtlinie und bringt wesentliche Änderungen und Erweiterungen mit sich. Die NIS2-Richtlinie konzentriert sich insbesondere auf kritische Sektoren und Dienste, die für die Gesellschaft und die Wirtschaft von grundlegender Bedeutung sind.
Kernpunkte des deutschen Umsetzungsgesetzes
Das deutsche Gesetz zur Umsetzung der NIS2-Richtlinie hebt insbesondere hervor:
- Erweiterter Anwendungsbereich: Das Gesetz bezieht sich auf „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“, darunter Betreiber kritischer Anlagen und Einrichtungen der Bundesverwaltung. Dies bedeutet, dass eine größere Anzahl von Unternehmen und Organisationen unter die neuen Regelungen fallen wird.
- Verstärktes Risikomanagement: Unternehmen sind verpflichtet, angemessene und wirksame Maßnahmen zur Risikominimierung und zur Handhabung von Sicherheitsvorfällen zu implementieren (§ 30 BSIG-E). Dies beinhaltet die Entwicklung von Risikomanagementplänen und die regelmäßige Überprüfung der Sicherheitsmaßnahmen.
- Meldepflichten: Es gibt eine erweiterte Meldepflicht für Sicherheitsvorfälle (§ 32 BSIG-E), die sicherstellt, dass diese Vorfälle zeitnah gemeldet und entsprechend bearbeitet werden.
- Registrierungspflichten: Besonders wichtige Einrichtungen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik registrieren und relevante Daten bereitstellen (§ 33 BSIG-E).
Kleinstunternehmen sind (derzeit) sehr stark privilegiert – alle anderen müssen aufpassen. Gegenwärtig ist Cybersicherheit zwar oft „auf der Agenda“, aber es wird mit Ausgaben noch gegeizt – das kann sich zeitnah bitter rächen. Und viele digitale Geschäftsmodelle werden mit diesem Gesetz an ihre Grenzen kommen. Zu Recht.
Kategorisierung von Betreibern
Mit dem Referentenentwurf kommt eine Einteilung wie Folgt:
- Betreiber kritischer Anlagen: natürliche oder juristische Personen oder eine rechtlich unselbständige Organisationseinheit einer Gebietskörperschaft, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine kritische Anlage in benannten Sektoren ausübt.
- Besonders wichtige Einrichtungen (§28 BSIG-E): Großunternehmen in ausgewählten Sektoren, wenn sie zu einer konkreten Einrichtungsart (Anlage 1) gehören, sowie qualifizierte Vertrauensdiensteanbieter, Top-Level-Domain Name Registries oder DNS-Diensteanbieter (Größenunabhängig); ebenso erfasst sind mittelgroße Unternehmen, die Anbieter von Telekommunikationsdiensten (§3 Nr. 44 TKG) oder öffentlich zugänglichen Telekommunikationsnetzen sind;
- wichtige Einrichtungen (§28 BSIG-E): mittelgroße Unternehmen in bestimmten Bereichen, wenn sie zu einer konkreten Einrichtungsart (Anlage 1 oder 2) gehören, was aber wohl weit zu verstehen ist, da u.a. ausdrücklich digitale Infrastruktur, Verwaltung von IKT-Diensten (Business- to-Business) und Anbieter digitaler Dienste erwähnt sind.
Wie immer werden Kleinstunternehmer und -Unternehmen privilegiert; gleichwohl ist eine Ausweitung des Anwendungsbereichs festzustellen, mittelgroße Unternehmen im Sinne des BSIG-E liegen im Bereich der 50 bis 249 Mitarbeiter, wobei die Umsätze ein weiteres Kriterium sind. Gerade in diesem Bereich, wird man sehr genau hinsehen müssen, es ist mit einer starken Ausdehnung des Anwendungsbereichs zu rechnen.
Auswirkungen auf betroffene Unternehmen
Für Unternehmen, die unter die Kategorien „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ fallen, ergeben sich aus diesem Gesetz neue Verpflichtungen und Herausforderungen:
- Erhöhter Dokumentationsaufwand: Unternehmen müssen die Einhaltung der gesetzlichen Anforderungen umfassend dokumentieren. Dies erfordert sicherlich zusätzliche Ressourcen und Prozesse.
- Investition in IT-Sicherheit: Unternehmen müssen voraussichtlich in ihre IT-Infrastruktur und Sicherheitssysteme investieren, um den erhöhten Anforderungen gerecht zu werden.
- Regelmäßige Überprüfungen und Updates: Die Risikomanagementprozesse und Sicherheitssysteme müssen regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie weiterhin wirksam sind und den gesetzlichen Anforderungen entsprechen.
Systematische Übersicht
Der 3. Teil gibt Unternehmen einen ersten brauchbaren Überblick über Einteilung, Pflichten und Aufgaben. Daher im Folgenden eine kurze Übersicht zur Orientierung:
- § 28 Besonders wichtige Einrichtungen und wichtige Einrichtungen, Definition und Kategorisierung: Legt fest, welche Einrichtungen als besonders wichtig und wichtig gelten und welche Sicherheitsanforderungen sie erfüllen müssen.
- § 29 Einrichtungen der Bundesverwaltung, Bundesverwaltung: Bestimmt, dass das Gesetz auch für Einrichtungen der Bundesverwaltung gilt und diese entsprechende Sicherheitsmaßnahmen umsetzen müssen.
- § 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen, Risikomanagement: Erfordert, dass besonders wichtige und wichtige Einrichtungen Risikomanagementmaßnahmen ergreifen, um ihre Informationssicherheit zu gewährleisten.
- § 31 Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen, Kritische Anlagen: Stellt spezifische Anforderungen an Betreiber kritischer Anlagen, um deren besondere Bedeutung für die Gesellschaft zu schützen.
- § 32 Meldepflichten, Sicherheitsvorfälle melden: Verpflichtet Einrichtungen, sicherheitsrelevante Vorfälle an die zuständigen Behörden zu melden.
- § 33 Registrierungspflicht, Registrierung: Erfordert, dass bestimmte Einrichtungen sich bei den zuständigen Behörden registrieren.
- § 34 Besondere Registrierungspflicht für bestimmte Einrichtungsarten, Erweiterte Registrierung: Besondere Registrierungspflichten für spezifische Arten von Einrichtungen, die besondere Risiken bergen.
- § 35 Unterrichtungspflichten, Informationspflichten: Verpflichtet Einrichtungen, die Behörden regelmäßig über Sicherheitsmaßnahmen und -vorfälle zu informieren.
- § 36 Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen, Feedback zu Meldungen: Das Bundesamt gibt Rückmeldungen zu den von den Einrichtungen gemeldeten Sicherheitsvorfällen.
- § 37 Ausnahmebescheid, Ausnahmen: Ermöglicht die Ausstellung von Ausnahmebescheiden unter bestimmten Voraussetzungen.
- § 38 Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen, Schulungen und Überwachung: Geschäftsleitungen sind verpflichtet, Sicherheitsmaßnahmen zu billigen, zu überwachen und entsprechende Schulungen sicherzustellen.
- § 39 Nachweispflichten für Betreiber kritischer Anlagen, Nachweise: Betreiber kritischer Anlagen müssen die Erfüllung der Sicherheitsanforderungen nachweisen.
- § 40 Nationale Verbindungsstelle sowie zentrale Melde- und Anlaufstelle für besonders wichtige und wichtige Einrichtungen, Zentrale Anlaufstelle: Etabliert eine nationale Verbindungsstelle für die Kommunikation und Koordination von Sicherheitsfragen.
- § 41 Untersagung des Einsatzes kritischer Komponenten, Verbot kritischer Komponenten: Ermöglicht die Untersagung des Einsatzes von IKT-Komponenten, die als unsicher gelten.
- § 42 Auskunftsverlangen, Auskunftspflicht: Verpflichtet Einrichtungen, den Behörden auf Verlangen Auskünfte zu erteilen.
Zu gewährende Mindestsicherheit
Nach §30 des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (Hiermit wird Artikel 21 der NIS2-Richtlinie umgesetzt) müssen besonders wichtige und wichtige Einrichtungen verschiedene Maßnahmen ergreifen, um Risiken für die Informationssicherheit zu minimieren. Diese Maßnahmen zielen darauf ab, die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten und Systeme zu schützen. Die Intensität der zu treffenden Maßnahmen ist nach Anlagentypen gestaffelt.
Zu den Risikomanagementmaßnahmen gehört es zunächst, die möglichen Bedrohungen und Schwachstellen der eigenen IT-Systeme und -Prozesse zu identifizieren. Dies kann durch regelmäßige Sicherheitsüberprüfungen und Schwachstellenanalysen geschehen. Anschließend müssen geeignete Sicherheitsvorkehrungen getroffen werden, um diese Schwachstellen zu beheben und Bedrohungen abzuwehren. Dazu zählen technische Maßnahmen wie die Implementierung von Firewalls, Antivirus-Software und Verschlüsselungstechniken sowie organisatorische Maßnahmen wie Sicherheitsrichtlinien und Schulungen für Mitarbeiter.
Bereich | NIS2UmsuCG | NIS2-Richtlinie | ISO/IEC 27001 |
---|---|---|---|
Risikomanagement | § 30 Absatz 1: Geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen. | Artikel 21 Absatz 2, Buchstabe a: Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme und Netzwerke. | Abschnitt 6.1: Maßnahmen zum Umgang mit Risiken und Chancen. |
Sicherheitsvorfälle bewältigen | § 30 Absatz 2 Nr. 2: Maßnahmen zur Bewältigung von Sicherheitsvorfällen. | Artikel 21 Absatz 2, Buchstabe b: Vorkehrungen zur Prävention und Bewältigung von Sicherheitsvorfällen. | Abschnitt 16: Management von Informationssicherheitsvorfällen. |
Betriebsfortführung und Krisenmanagement | § 30 Absatz 2 Nr. 3: Aufrechterhaltung des Betriebs, Backup-Management und Krisenmanagement. | Artikel 21 Absatz 2, Buchstabe c: Kontinuitätspläne und Verfahren für das Krisenmanagement. | Abschnitt 17: Informationssicherheitsaspekte des Geschäftsfortführungsmanagements. |
Sicherheit der Lieferkette | § 30 Absatz 2 Nr. 4: Sicherheitsmaßnahmen für die Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen. | Artikel 21 Absatz 5: Maßnahmen für die Sicherheit der Lieferkette. | Abschnitt A.15: Lieferantenbeziehungen. |
Schulung und Sensibilisierung | § 38 Absatz 3: Regelmäßige Schulungen für Geschäftsleitungen und alle Beschäftigten sowie § 30 Absatz 2 Nr. 7: Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik. | Artikel 21 Absatz 2, Buchstabe e: Schulung und Sensibilisierung der Mitarbeiter. | Abschnitt 7.2.2: Bewusstsein, Schulung und Kompetenz. |
Technische und organisatorische Maßnahmen | § 30 Absatz 1: Geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden. | Artikel 21 Absatz 2: Maßnahmen zur Vermeidung und Begrenzung von Sicherheitsvorfällen. | Abschnitt 6.2: Informationssicherheitsziele und Planung zu deren Erreichung. |
Kryptografie und Verschlüsselung | § 30 Absatz 2 Nr. 8: Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung. | Nicht explizit erwähnt. | Abschnitt A.10: Kryptografische Maßnahmen. |
Angriffserkennung | § 31 Absatz 2: Systeme zur Angriffserkennung einsetzen. | Nicht explizit erwähnt. | Abschnitt A.12: Betriebssicherheit (einschließlich Überwachungsmaßnahmen). |
Multifaktor-Authentifizierung | § 30 Absatz 2 Nr. 10: Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung. | Nicht explizit erwähnt. | Abschnitt A.9: Zugangskontrolle. |
Personalsicherheit | § 30 Absatz 2 Nr. 9: Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen. | Nicht explizit erwähnt. | Abschnitt A.7: Personalsicherheit. |
Ein weiterer wichtiger Punkt ist die kontinuierliche Überwachung der IT-Systeme, um ungewöhnliche Aktivitäten frühzeitig zu erkennen und darauf reagieren zu können. Dies umfasst die Einrichtung eines Systems zur Angriffserkennung sowie die Festlegung von Notfallplänen, um im Falle eines Sicherheitsvorfalls schnell und effektiv handeln zu können. Zusätzlich sind die betroffenen Einrichtungen verpflichtet, regelmäßig Berichte über ihre Sicherheitsmaßnahmen und eventuelle Vorfälle an die zuständigen Behörden zu übermitteln. Dadurch wird sichergestellt, dass die Sicherheitsvorkehrungen stets auf dem neuesten Stand sind und bei Bedarf angepasst werden können:
- Konzepte zur Risikoanalyse und IT-Sicherheit: Jede Einrichtung muss detaillierte Konzepte entwickeln, die beschreiben, wie Risiken für die IT-Sicherheit identifiziert und analysiert werden. Dies beinhaltet die Bewertung von Bedrohungen und Schwachstellen sowie die Festlegung von Maßnahmen zur Risikominimierung.
- Bewältigung von Sicherheitsvorfällen: Es müssen klare Verfahren und Strategien zur Reaktion auf Sicherheitsvorfälle vorhanden sein. Dies umfasst die Erkennung von Vorfällen, die sofortige Reaktion und die Maßnahmen zur Schadensbegrenzung.
- Aufrechterhaltung des Betriebs: Einrichtungen müssen sicherstellen, dass ihre Dienste auch im Falle eines IT-Sicherheitsvorfalls weiter betrieben werden können. Dies beinhaltet Maßnahmen wie Backup-Management und Notfallwiederherstellung, um Datenverlust und Ausfallzeiten zu minimieren.
- Sicherheit der Lieferkette: Es müssen Maßnahmen getroffen werden, um die Sicherheit der gesamten Lieferkette zu gewährleisten. Dies schließt vertragliche Vereinbarungen mit Zulieferern und Dienstleistern ein, die ebenfalls hohen Sicherheitsstandards entsprechen müssen.
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung: Bei der Anschaffung, Entwicklung und Wartung von IT-Systemen müssen Sicherheitsaspekte berücksichtigt werden. Dies umfasst auch das Management und die Offenlegung von Schwachstellen, um Sicherheitslücken frühzeitig zu erkennen und zu schließen.
- Bewertung der Wirksamkeit von Sicherheitsmaßnahmen: Es müssen regelmäßige Überprüfungen und Bewertungen der bestehenden Sicherheitsmaßnahmen durchgeführt werden, um deren Wirksamkeit sicherzustellen und kontinuierlich zu verbessern.
- Grundlegende Cyberhygiene und Schulungen: Grundlegende Verfahren im Bereich der Cyberhygiene, wie zum Beispiel das regelmäßige Aktualisieren von Software (Patchmanagement) und sichere Passwortpraktiken, müssen implementiert werden. Zudem sind Schulungen für Mitarbeiter erforderlich, um das Bewusstsein für IT-Sicherheit zu stärken.
- Konzepte und Verfahren für Kryptografie und Verschlüsselung: Der Einsatz von Kryptografie und Verschlüsselung muss geregelt sein, um die Vertraulichkeit und Integrität von Daten zu schützen.
- Sicherheit des Personals und Zugangskontrolle: Es müssen Konzepte zur Personalsicherheit und zur Kontrolle des Zugangs zu IT-Systemen und -Anlagen entwickelt werden. Dies umfasst auch Maßnahmen zum Schutz vor Insider-Bedrohungen.
- Multi-Faktor-Authentifizierung und gesicherte Kommunikation: Es müssen Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung verwendet werden. Außerdem müssen gesicherte Kommunikationssysteme für Sprache, Video und Text innerhalb der Einrichtung vorhanden sein, um die Sicherheit der internen Kommunikation zu gewährleisten.
Cybersicherheit und NIS2: Haftung der Geschäftsleitung
Haftung der Geschäftsleitung
Zunächst sieht § 38 Abs. 1 BSIG-E vor, dass Geschäftsleiter von besonders wichtigen Einrichtungen und von bedeutenden Unternehmen verpflichtet sind, die von diesen Einrichtungen getroffenen Risikomanagementmaßnahmen (siehe oben, § 30) im Bereich der Cyber-Sicherheit zu genehmigen und deren Umsetzung zu überwachen. Auch bei Einschaltung von Hilfspersonen bleibt das Leitungsorgan letztverantwortlich. Geschäftsleiter, die ihre Pflichten hiernach verletzen, haften dem Institut für den entstandenen Schaden, vgl. § 38 Abs. 2 BSIG-E. Als Schaden gelten nach der Gesetzesbegründung übrigens sowohl Regressansprüche als auch Bußgelder!
Spannend ist und bleibt der zweite Absatz: Hier war bis zur zweiten Fassung des Referentenentwurfs eine „scharfe Formulierung“ vorgesehen, mit der ein Verzicht des Trägers auf Ersatzansprüche ebenso unwirksam war, wie ein pauschaler Vergleich des Trägers über solche Ansprüche. Dies bedeute, dass jede Pflichtverletzung unmittelbar zu einer persönlichen, nicht abdingbaren und keinem Vergleich zugänglichen Haftung des Geschäftsführers führen würde. Mit dem zweiten Referentenentwurf (Bearbeitungsstand: 24.06.2024) ist das passé. Nunmehr soll gelten:
Geschäftsleitungen, die ihre Pflichten nach Absatz 1 verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts. Nach diesem Gesetz haften sie nur, wenn die für die Einrichtung maßgeblichen gesellschaftsrechtlichen Bestimmungen keine Haftungsregelung nach Satz 1 enthalten.
Es gelten also nun die hergebrachten Regeln, wobei der letzte Satz für mich nicht verständlich ist, da das Umsetzungsgesetz zwar Pflichten für Geschäftsleitungen vorsieht – aber eben keine Haftungsregeln. Die Begründung zum Entwurf verhält sich auch nicht weiter dazu, sodass ich derzeit etwas rätselnd zurückbleibe. Wie ich zu der bisher bestehenden Rechtslage allerdings schon ausgeführt habe, gibt es bereits eine Haftungslage. Und auch wenn nun auf den ersten Blick Verzichte und Vergleiche wieder möglich sind, ergeben sich auch hier Probleme – denn wenn hier betriebswirtschaftlich nicht nachvollziehbare Vergleiche zulasten der Gesellschaft geschlossen werden, steht eine Strafbarkeit im Raum.
Die Entscheidung, die zuerst über Gebühr ausgedehnte Haftung nun einfach gar nicht mehr zu regeln, wird sich noch bitter rächen, der Beratungsaufwand wird auf Grund der mangelhaften Formulierung geradezu explodieren: Zwar sind Vergleiche möglich über Schäden zwischen Gesellschaft und Geschäftsleitung. Da aber keine Regularien getroffen wurden, muss im Einzelfall zur Verhinderung einer Strafbarkeit geprüft werden, in welchem Rahmen ein Vergleich oder Verzicht denkbar ist. Auch ist der Verweis auf die Haftung nach dem BSI-G für nicht ansonsten geregelte Gesellschaften maximal irreführend – am Ende wird jede Geschäftsleitung haften, wenn man seinen Pflichten nach dem BSIG nicht nachkommt und dadurch Schäden entstehen.
Ärgerlich ist am Ende, dass man im Ministerium derart übertrieben vor den Wirtschaftsverbänden gekuscht hat: Wenn man kein Zwangsmittel etabliert, wird sich die Cybersicherheit in diesem Land auch mit dem NIS2-Umsetzungsgesetz so weiterentwickeln, wie bisher: behäbig.
Steuerung der Geschäftsleitung
Wenn eine Geschäftsleitung Anordnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nicht nachkommt, hat das BSI verschiedene Maßnahmen zur Verfügung, um die Einhaltung der Sicherheitsanforderungen sicherzustellen.
Zunächst kann das BSI, im Benehmen mit der zuständigen Aufsichtsbehörde, verbindliche Anweisungen erlassen, um Sicherheitsmängel zu beheben oder Vorfälle zu verhindern. Diese Anweisungen müssen von der betroffenen Einrichtung innerhalb einer gesetzten Frist umgesetzt werden. Sollte Gefahr im Verzug sein, kann das BSI solche Maßnahmen auch ohne vorherige Abstimmung mit der Aufsichtsbehörde anordnen.
Kommt eine Geschäftsleitung diesen Anweisungen nicht nach, kann das BSI die zuständige Aufsichtsbehörde informieren. Diese hat dann die Möglichkeit, drastischere Maßnahmen zu ergreifen, die in dieser Form auch ein Novum sind:
- Aussetzung der Dienste: Die Aufsichtsbehörde kann die Genehmigung für bestimmte oder alle Dienste der betroffenen Einrichtung vorübergehend aussetzen.
- Untersagung von Leitungsaufgaben (dazu nun §63 VI): Die Aufsichtsbehörde kann natürlichen Personen, die in leitenden Positionen wie Geschäftsführung oder Vorstand tätig sind, die Ausübung ihrer Aufgaben untersagen.
- Die vormals vorgesehene Einsetzung eines „Überwachungsbeauftragten“ (§64 Abs. 9 BSI-G E3), ist im Referentenentwurf inzwischen verschwunden.
Diese Maßnahmen bleiben dann so lange in Kraft, bis die betroffene Einrichtung den Anordnungen des BSI nachgekommen ist und die entsprechenden Sicherheitsmaßnahmen umgesetzt hat.
Geschäftsführung ohne Datenschutz und Cybersicherheit funktioniert nicht – Punkt. Und zwar noch nicht jetzt, aber schon zeitnah, wird es existenziell kostspielig für Geschäftsführer und Vorstände, die Ihre Aufgaben nicht hinreichend wahrnehmen – persönlich! Dabei kann eine Haftung schon jetzt eintreten.
Domaindaten
Es kommt mit den §§51ff. BSIG-E etwas Neues, ein neuer „Datenschatz“ für Ermittler – jedenfalls in dieser Form: Um zur Sicherheit, Stabilität und Robustheit des Domain Name Systems beizutragen, sind Top Level Domain Name Registries und Domain Name Registry Service Providers verpflichtet, genaue und vollständige Registrierungsdaten über Domain-Namen in einer eigenen Datenbank zu sammeln.
Diese Datenbank enthält die erforderlichen Angaben zur Identifizierung und Kontaktaufnahme mit den Inhabern der Domänennamen und den Kontaktstellen, die die Domänennamen im Rahmen der TLD verwalten. Nach dem Gesetz sind dies mindestens Name, E-Mail-Adresse und Telefonnummer, jedoch noch keine Postanschrift.
Dokumentationspflichten mit der NIS2- Umsetzung
Dokumentationspflichten und die daraus resultierenden Konsequenzen sollen sicherstellen, dass Unternehmen proaktiv die Cybersicherheit verbessern und im Falle von Sicherheitsvorfällen effektiv und transparent reagieren. Zugleich ist es natürlich ein probates Mittel der Aufsichtsbehörde, durch einfache Kontrolle zu prüfen, was man so alles umgesetzt hat.
Unternehmen, die ihrer Dokumentationspflicht nicht nachkommen, können mit erheblichen Bußgeldern belegt werden. Die Höhe der Bußgelder richtet sich nach der Schwere des Verstoßes und kann empfindlich sein. Bei schwerwiegenden Verstößen kann das BSI zudem – wie oben dargestellt – die Genehmigung für bestimmte oder alle Dienstleistungen eines Unternehmens aussetzen. Dies kann bis zur Untersagung von Leitungsaufgaben für verantwortliche Personen gehen. In extremen Fällen kann es dann sogar dazu kommen, dass Unternehmen ihre Betriebserlaubnis verlieren, wenn sie wiederholt gegen Dokumentationspflichten verstoßen und die geforderten Sicherheitsmaßnahmen nicht umsetzen. Abschliessend: Die Geschäftsleitungen sind persönlich verantwortlich für die Umsetzung und Überwachung der Sicherheitsmaßnahmen. Eine unzureichende Dokumentation kann zu Haftungsansprüchen gegen die Geschäftsleitung führen (siehe oben).
Risikomanagement
Unternehmen müssen Maßnahmen zur Risikominimierung dokumentieren, einschließlich der Durchführung von Risikoanalysen und der Umsetzung von IT-Sicherheitskonzepten. Dazu gehören auch Maßnahmen zur Aufrechterhaltung des Betriebs und zum Krisenmanagement.
Sicherheitsvorfälle
Unternehmen sind verpflichtet, Sicherheitsvorfälle zu dokumentieren, die getroffenen Reaktionen und die daraus gezogenen Lehren festzuhalten. Dies umfasst auch die Kommunikation mit den zuständigen Behörden.
Meldepflichten
Alle Vorfälle, die die Informationssicherheit beeinträchtigen könnten, müssen dokumentiert und gemeldet werden. Die Dokumentation muss detailliert sein und alle relevanten Informationen zum Vorfall enthalten.
Registrierung und Nachweise
Unternehmen müssen ihre Sicherheitsmaßnahmen und deren Wirksamkeit regelmäßig überprüfen und dokumentieren. Diese Nachweise müssen auf Verlangen den zuständigen Behörden vorgelegt werden.
Mitarbeiterschulungen
Unternehmen sind verpflichtet, Schulungen zur Informationssicherheit durchzuführen und diese zu dokumentieren. Dies umfasst regelmäßige Sensibilisierung der Mitarbeiter für Risiken wie Phishing und Social Engineering.
Sicherheit der Lieferkette
Es müssen Verträge und Vereinbarungen mit Zulieferern und Dienstleistern dokumentiert werden, die sicherstellen, dass diese ebenfalls hohe Sicherheitsstandards einhalten.
Was bedeutet eine verspätete Umsetzung der NIS2-Richtlinie?
Wenn die NIS-2-Richtlinie (EU) 2022/2555 nicht rechtzeitig in nationales deutsches Recht umgesetzt wird, hat dies mehrere rechtliche Konsequenzen. Eine unmittelbare Anwendbarkeit auf Unternehmen steht auch dann ausdürcklich nicht im Raum! Wenn Sie anderes mitunter lesen, liegt dies an einem Missverständnis: Wo eine EU-Richtlinie den Staat bzw. seine Behörden zu etwas verpflichtet, kann dies bei mangelnder Umsetzung durch ein nationales Gesetz gleichwohl Wirkung entfalten. Dies gilt aber nicht für die Wirtschaft und die Bürger.
Im Übrigen gilt: Die Europäische Kommission (EU-Kommission) würde ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland einleiten. Ein solches Verfahren läuft in mehreren Stufen ab:
Vertragsverletzungsverfahren
- Mahnschreiben: Die EU-Kommission schickt ein Mahnschreiben an Deutschland, in dem die Kommission auf die Vertragsverletzung hinweist und eine Frist zur Behebung der Mängel setzt.
- Mit Gründen versehene Stellungnahme: Falls Deutschland innerhalb der gesetzten Frist nicht handelt, folgt eine mit Gründen versehene Stellungnahme. Diese formale Aufforderung legt detailliert dar, wie die EU-Kommission die Vertragsverletzung sieht und gibt erneut eine Frist zur Behebung.
- Klagebeschluss und Klageeinreichung: Wenn Deutschland weiterhin nicht reagiert, kann die EU-Kommission einen Klagebeschluss fassen und den Europäischen Gerichtshof (EuGH) anrufen. Die Kommission kann gleichzeitig beantragen, dass finanzielle Sanktionen gegen Deutschland verhängt werden.
Aber: Die meisten Vertragsverletzungsverfahren werden eingestellt, bevor der EuGH angerufen wird. Im Jahr 2022 wurden europaweit ca. 96 % aller Verfahren vor der Anrufung des Gerichtshofs eingestellt.
Mögliche Sanktionen?
Bei fortgesetzter Nichtumsetzung der Richtlinie kann der EuGH auf Antrag der Kommission finanzielle Sanktionen gegen Deutschland verhängen. Diese Sanktionen können sowohl eine einmalige Geldstrafe als auch Zwangsgelder umfassen, die für jeden Tag der Nichtumsetzung anfallen.
Fazit
Es war zu lange überfällig, nun kommt der Hammer: Über Jahrzehnte wurden in Deutschland die Kosten der „Digitalisierung“ schöngerechnet durch unpassenden Geiz bei IT-Sicherheit und Datenschutz.
Letzteres wurde durch die DSGVO schon angepackt, wenn auch in der Praxis halbherzig durchgesetzt – jetzt kommt die Cybersicherheit dazu. Die persönliche Haftung wird zu einem Umdenken vieler führen, ebenso zu massiv steigenden Kosten klassischer digitaler Lösungen. Geschäftsführer und Vorstände haben keine Zeit mehr: Das Gesetz wird weiterhin noch Zeit brauchen, die Umsetzung im Betrieb aber auch. Zusammenfassend sollten sich betroffene Unternehmen hierauf einstellen:
- Informationspflicht:
- Nachweis der Einhaltung eines Mindestniveaus an IT-Sicherheit: § 34 in Verbindung mit §§ 28 und 30 BSIG-E
- Meldung erheblicher Sicherheitsvorfälle: § 31 in Verbindung mit § 28 BSIG-E
- Risikomanagementmaßnahmen:
- Geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zur Vermeidung von Störungen und Minimierung der Auswirkungen von Sicherheitsvorfällen sind zu treffen – und zu dokumentieren: § 30 Absätze 1 und 2 BSIG-E
- Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen:
- Geschäftsleitungen sind verpflichtet, die Risikomanagementmaßnahmen zu billigen und deren Umsetzung zu überwachen: § 38 BSIG-E
- Besondere Anforderungen für Betreiber kritischer Anlagen:
- Einsatz von Systemen zur Angriffserkennung: § 31 Absatz 2 BSIG-E
- Meldepflichten:
- Meldepflicht von Sicherheitsvorfällen: § 32 BSIG-E
- Registrierungspflicht:
- Besondere Registrierungspflicht für bestimmte Einrichtungsarten: § 34 BSIG-E
- Unterrichtungspflichten:
- Im Fall eines erheblichen Sicherheitsvorfalls kann das Bundesamt Anweisungen geben, die Empfänger ihrer Dienste über den Vorfall zu unterrichten: § 35 BSIG-E
- Aufsichts- und Durchsetzungsmaßnahmen:
- Das Bundesamt kann Audits, Prüfungen oder Zertifizierungen zur Prüfung der Erfüllung der Anforderungen anordnen: § 64 BSIG-E
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024