Umsetzung von NIS-2 in deutsches Recht: Neue Anforderungen an Cybersicherheit im Unternehmen

Eckpunkte der NIS-2 Umsetzung

Die NIS-2-Regulation verfolgt das Ziel, in der gesamten EU ein einheitliches hohes Cyber-Sicherheitsniveau sicherzustellen. Der Schutz der Gesellschaft vor Versorgungsengpässen und der Schutz systemrelevanter Einrichtungen mit erheblicher Bedeutung für die öffentliche Sicherheit, Gesundheit und Ordnung steht im Vordergrund. Um ein hohes Maß an Cyber-Sicherheit zu erreichen, sollen künftig auch weite Teile des Mittelstands von der NIS-2 Umsetzung in nationales Recht erfasst werden.

Das neue BSIG verpflichtet Betreiber kritischer Anlagen sowie (besonders) wichtige Einrichtungen zur Implementierung bestimmter technischer, operativer und organisatorischer Maßnahmen. Dazu gehören zum Beispiel Maßnahmen zum Risikomanagement. Neben einer Registrierungspflicht beim BSI sieht das Gesetz Melde-, Berichts-, Nachweis- und Schulungspflichten vor. Leistungsorganen obliegt nunmehr eine eigene Verantwortlichkeit bezüglich der Implementierung und Überwachung der gesetzlich vorgeschriebenen Maßnahmen zur Stärkung der Cyber-Sicherheit von Unternehmen. Dies wird flankiert von einer persönlichen Haftung der Unternehmensleitung. Unternehmen sind somit gehalten, Governance und Compliance-Strukturen zur Umsetzung der NIS-2 Regulation zu etablieren und Schulungskonzepte für ihre Leitungsorgane zu entwickeln. Denn Cyber-Sicherheit ist nunmehr eine Kernaufgabe der Unternehmensführung und bildet einen zentralen Bestandteil guter Unternehmensleitung angesichts einer stetig wachsenden Bedrohungs- und Angriffslage im digitalen Zeitalter.

Anwendungsbereich - NIS-2 Betroffenheit

Betroffen sind Unternehmen und Einrichtungen, die in bestimmten, vom Gesetz definierten Sektoren tätig sind und festgelegte Kennzahlen (Unternehmensgröße und Jahresumsatz) erreichen bzw. überschreiten. Die Schwellenwerte differenzieren zwischen „wichtigen“ und „besonders wichtigen“ Einrichtungen und bestimmen damit die Intensität der Regulierung. Zu den erfassten Sektoren gehören u.a. Energie, Transport und Verkehr, Finanzwesen, Gesundheitswesen, Verwaltung von IKT-Diensten (insbesondere Managed Service Provider und Managed Security Service Provider), öffentliche Verwaltung, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe/Warenhersteller und Anbieter digitaler Dienste (etwa Online-Marktplätze und Plattformen sozialer Netzwerke). Wichtig ist dabei, dass die vorgenannten Sektoren nicht pauschal erfasst werden, sondern im BSIG und den dazugehörigen Anlagen der jeweilige Sektor in betroffene Teilsektoren ausdifferenziert wird. 

In der Praxis ist daher die Bewertung, ob ein konkretes Unternehmen mit seiner Geschäftstätigkeit unter einen der NIS-2 regulierten Teilsektoren fällt, nicht immer unproblematisch, sondern bedarf vielfach einer vertieften Analyse. 

Wir analysieren daher für Sie die relevanten Faktoren wie Unternehmensgröße, Jahresumsatz und Sektor sowie die Einschlägigkeit gesetzlich vorgesehener Ausnahmen (etwa bei  „Nebentätigkeiten“). Bei Unternehmensgruppen und Konzernverbünden bedürfen der Grundsatz der Konzernzurechnung und die Zuordnung der konkreten Geschäftstätigkeit zu einem regulierten Sektor einer dezidierten Analyse. Denn es bestehen auch Ausnahmen von der Konzernzurechnung, insbesondere dann, wenn das Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der IT-Systeme, Komponenten und Prozesse unabhängig von seinen Partner- oder verbundenen Unternehmen ist. Dieser Aspekt bedarf einer fundierten Einzelfallbetrachtung. Gerade bei Konzernen ist wichtig zu beachten, dass von der NIS-2 Regulation und den Regelungen im neuen BISG beispielsweise auch Managed Service Provider, Rechenzentrumsdienste, gruppeninterne IT-Gesellschaften und Holdings betroffen sein können.

Hinzu kommt, dass Betreiber kritischer Anlagen unabhängig von ihrer Unternehmensgröße als stärker regulierte besonders wichtige Einrichtungen verpflichtet werden. Hier ist allein das Vorliegen einer der vorgesehenen Anlagenarten und das Erreichen bestimmter Schwellenwerte nach der Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz (BSI-KritisV (neu)) maßgeblich. Kritische Anlagen sind solche, die für Dienstleistungen in den Sektoren Energie, Transport/Verkehr, Finanzwesen, Gesundheit, Wasser, Ernährung, IT/Telekommunikation, Weltraum oder Abfall essenziell sind. Betreiber ist diejenige Gesellschaft, die bestimmenden Einfluss auf die kritische Anlage ausübt (tatsächlich/rechtlich/wirtschaftlich). 

Das bedeutet: In einem ersten Schritt müssen die relevanten Unternehmen und Unternehmensbereiche erfasst werden. Sodann erfolgt für jede Gesellschaft eine gesonderte Analyse ihrer Geschäftstätigkeit und Leistungen. Dazu ist u.a. die Bewertung von Organigrammen und den relevanten Kennzahlen, Leistungsbeschreibungen, Prozessdokumenten, technischen Beschreibungen oder auch Zertifizierungen erforderlich

Umsetzung des Pflichtenkatalogs und Rechtsfolgen

Das BSIG regelt in den §§ 30 ff. BSIG ein Pflichtprogramm, das entsprechend der Einordnung als wichtige oder besonders wichtige Einrichtung abgestuft ist. Das Gesetz sieht risikoangemessene, technische und organisatorische Maßnahmen nach dem Stand der Technik, um Verfügbarkeit, Integrität und Vertraulichkeit zu sichern. Umfang und Verhältnismäßigkeit der Maßnahmen bestimmen sich nach der Risikoexposition, Größe, Kosten und potenziellem Schadensausmaß. Das Pflichtenprogramm sieht eine Vielzahl zu erstellender und von der Geschäftsführung/ Unternehmensleitung zu genehmigender Konzepte vor: Diese betreffen: 

• die Risikoanalyse und Sicherheit für IT-Systeme,
• Sicherheit,
• den Risikomanagementrahmen und die Bewältigung von Sicherheitsvorfällen,
• Notfälle sowie die Aufrechterhaltung des Betriebs, Backup-Management, Business Continuity und Krisenmanagement. 

Das bedeutet: Der Aufbau entsprechender Governance-Strukturen im Unternehmen und die Einrichtung interner, organisatorischer Prozesse zur Erfüllung des Pflichtenprogramms sind künftig zwingend erforderlich, damit Zuständigkeiten festgelegt und Prozesse etabliert werden, um Konzepte mit klaren Rollen und Verfahren zur Erkennung, Analyse und dem Umgang mit Risiken effektiv umzusetzen. Hierzu gehören auch Protokollierungs- und Dokumentationsmechanismen.

Denn: Mit der NIS-2 Regulation wurde eine dreistufige Meldepflicht bei Sicherheitsvorfällen gesetzlich verankert, die eine Erstmeldung binnen 24 Stunden, ein Update binnen 72 Stunden und einen Abschlussbericht innerhalb eines Monats gegenüber der Aufsichtsbehörde vorsieht.

Ferner haben betroffene Unternehmen auch die Sicherheit in der Lieferkette sicherzustellen, sodass es der Aufnahme entsprechender Regelungen in die Verträge über die Bereitstellung von IT-Infrastrukturen und IT-Dienstleistungen bedarf. Insofern besteht ein erhöhter Bedarf an einer Revision und Nachverhandlung bestehender Verträge (z.B. Verpflichtungen zu Sicherheitsupdates beim Einsatz von Komponenten Dritter, Einräumung vertraglicher Kontrollbefugnisse, kontinuierliche Informationsflüsse über mögliche Angriffsvektoren, Ermöglichung umfassender und stets aktueller Risikobewertungen). Gleichzeitig ist eine entsprechende Anpassung neu abzuschließender Verträge geboten, in denen beispielsweise Sicherheitsanforderungen (z.B. Meldepflichten, Auditrechte, Schwachstellenbehebung) vertraglich vereinbart werden.

Wichtig: Bei schuldhaften Verstößen gegen das neue Cybersicherheitsrecht drohen Bußgelder bis zu 10 Mio. EUR (besonders wichtige Einrichtungen) bzw. 7 Mio. EUR (wichtige Einrichtungen) sowie Schadensersatzansprüche von Vertragspartnern und erhebliche Reputationsschäden.

Wir beraten Sie rund um die NIS-Anforderungen – Kontaktieren Sie uns!

Wir beraten bei der Umsetzung der gesetzlichen Anforderungen, wie dem Aufbau von Governance-Prozessen, Anpassung der Verträge in der Lieferkette, Bewertung von Richtlinien, Dokumentationen, implementierten Maßnahmen und Risikoanalysen. Ein besonderes Augenmerk gilt dabei der Beratung der Geschäftsführung im Hinblick auf die eigene Verantwortung, die rechtssichere Delegierung von Aufgaben und die potenzielle Haftung der Geschäftsleitung für Maßnahmen der Cyber-Sicherheit.