Cybersicherheit – auf Unternehmen kommt Einiges zu – hier: Die NIS-2-Richtlinie

Ende vergangenen Jahres ist von der EU die „Network-and-Information-Security-Richtlinie 2.0“ (NIS-2-Richtlinie) verabschiedet worden. Ein erster Referentenentwurf zur Umsetzung in Deutschland ist jüngst bekannt geworden.

Strauß an neuen Regelungen auf dem Gebiet der IT-Sicherheit für Unternehmen

Die NIS 2-Richtlinie stellt den Beginn eines ganzen Straußes an neuen Regelungen auf dem Gebiet der IT-Sicherheit dar. Die Union hat den Mitgliedsstaaten nämlich u.a. mit der CER-Richtlinie – EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie) – noch weitere Umsetzungen aufgegeben. Dieser Rechtsakt zielt darauf ab, kritische Einrichtungen zu identifizieren und deren physische Widerstandsfähigkeit gegenüber Bedrohungen wie Naturgefahren, Terroranschlägen oder Sabotage zu stärken.

Seit Ende letzten Jahres liegen dazu Eckpunkte für ein KRITIS-Dachgesetz vor. „KRITIS“ steht für „Kritische Infrastrukturen“. Unter anderem werden sich Betreiber kritischer Infrastrukturen auf weitere verpflichtende Maßnahmen, wie Risikobewertungen, Meldepflichten und Einhaltung von Mindeststandards einstellen müssen.

NIS-1-Richtlinie

Ziel der Vorgänger-Richtlinie „NIS-1“-war der unionsweite Aufbau von Cybersicherheitskapazitäten, die Eindämmung von Bedrohungen für Netz- und Informationssysteme, die zur Erbringung wesentlicher Dienste in Schlüsselsektoren verwendet werden, und die Sicherstellung der Kontinuität solcher Dienste bei Vorfällen, um so zur Sicherheit der Union und zum reibungslosen Funktionieren ihrer Wirtschaft und Gesellschaft beizutragen.

„Cybersicherheit“

Das Kunstwort „Cybersicherheit“ bezeichnet dabei alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen.

„Cybersicherheitsvorfall großen Ausmaßes“

Trotz der „erhebliche Fortschritte bei der Stärkung der Cyberresilienz der Union“ gebe es, so die NIS 2-Richtlinie, auch „inhärente Mängel“. Zu Recht spricht Erwägungsgrund 2 davon, dass das EU-weite „Niveau der Cyberresilienz“ wegen der „Unterschiede“ in einzelnen EU-Mitgliedsländern „zu einer höheren Anfälligkeit einiger Mitgliedstaaten gegenüber Cyberbedrohungen führen, deren Auswirkungen auf die gesamte Union übergreifen könnten.“

Exponentieller Anstieg von Ransomware-Angriffen mit nachfolgender Lösegeldforderung

Beispielhaft spricht die NIS 2-Richtlinie davon, dass die EU in den letzten Jahren mit einem exponentiellen Anstieg von Ramsomware-Angriffen (von englisch ransom für „Lösegeld“) konfrontiert war – bei zunehmender Häufigkeit und Schwere. Bei Ransomware-Angriffen werden Daten und Systeme durch ein Schadprogramm verschlüsselt und hernach eine Lösegeldzahlung für die Freigabe verlangt.

Der schwächste Spieler entscheidet das Spiel

Wer sich je mit IT-Sicherheit auseinandergesetzt hat, weiß, dass die schwächste Stelle einer ansonsten noch so sicher und teuer ausgelegten IT-Infrastruktur entscheidend für das Gesamtsystem sein kann, indem diese schwächst Stelle das Gesamtsystem nämlich kippen kann.

Und selbst derjenige, der sich noch nicht mit IT-Sicherheit auseinandergesetzt hat, kann im Umgang mit seinem Mobil-„Telefon“ erahnen, welche komplexen Prozesse darauf und darüber mittlerweile alltäglich sind. Nur zu gut nachzuvollziehen, dass damit aber auch die Komplexität von Cyberbedrohungen steigt.

„Das Funktionieren des Internets ist für den Binnenmarkt wichtiger denn je“

„Die wachsenden gegenseitigen Abhängigkeiten sind das Ergebnis eines sich über immer mehr Grenzen hinweg erstreckenden und zunehmend interdependenten Dienstleistungsnetzes, das zentrale Infrastrukturen in der gesamten Union nutzt, und zwar in Sektoren wie z.B. Energie, Verkehr, digitale Infrastruktur, Trinkwasser und Abwasser, Gesundheit, bestimmten Bereichen der öffentlichen Verwaltung sowie im Weltraumsektor (…) (Erwägungsgrund 37, erster Halbsatz).

Abwehr von Wirtschaftsspionage und Schutz von Geschäftsgeheimnissen

Die Richtlinie führt aus, dass gerade kleine und mittlere Unternehmen wegen ihrer eingeschränkten Sicherheitsressourcen vor besonderen Herausforderungen stehen und gerade daher ein beliebtes Ziel darstellen. Aufgrund der Kaskadenwirkung können die Angriffe auf sie aber auf die von ihnen belieferten Einrichtungen („Lieferketten“) große Auswirkungen haben.

IT-Sicherheitsgesetz

In Deutschland sieht bereits seit Juli 2015 das IT-Sicherheitsgesetz einen Rechtsrahmen für die Zusammenarbeit von Staat und Unternehmen (KRITIS-Betreibern) für mehr Cyber-Sicherheit bei den Kritischen Infrastrukturen (KRITIS) vor.

„Die verstärkten Cyberangriffe während der COVID-19-Pandemie haben gezeigt, wie anfällig zunehmend interdependente Gesellschaften für Risiken mit geringer Eintrittswahrscheinlichkeit sind“ (Erwägungsgrund 37 Satz 3).

Auch Kleinstunternehmen und kleine Unternehmen werden verpflichtet – „erhebliche Implementierungskosten“ für IT-Sicherheit

Auch bei der nun geplanten Erweiterung des Anwendungsbereiches geht es natürlich um die Verhältnismäßigkeit und die Risikobasiertheit insbesondere von nunmehr einbezogenen Kleinstunternehmen und kleinen Unternehmen, die nun ebenfalls verpflichtet werden. Es geht aber auch um den nicht unerheblichen Verwaltungsaufwand für die Aufsichts- und Durchsetzungsregelungen und deren Koordinierung. In Erwägungsgrund 52 spricht die Richtlinie selbst von „erhebliche Implementierungskosten“, die bei kleinen und mittleren Unternehmen anfallen.

Koordinierte Offenlegung von Schwachstellen

Es geht dabei um Risikomanagementmaßnahmen und Berichtspflichten im Bereich der Cybersicherheit, wobei ausdrücklich Domänennamensystem-, Rechenzentrums- und Cloud- und Edge-Computing-Diensteanbieter, aber auch Wasserversorgungs- und Abfallentsorgungseinrichtungen genannt werden.

Und es geht um Maßnahmen wie Software- und Hardware-Updates. die mit dem Begriff „Cyberhygiene“ umschrieben werden, Open-Source-Cybersicherheitswerkzeuge und –Anwendungen und zentrale Anlaufstellen für Cybersicherheit und Computer-Notfallteams, denen Meldung zu machen ist.

In Bezug auf den Anwendungsbereich wird in NIS-2 zwischen Sektoren mit hoher Kritikalität (Anhang I) und sonstigen kritischen Sektoren (Anhang II) differenziert.

Kritische Sektoren

Zum Anhang I (hohe Kritikalität) gehören u. a. Unternehmen aus den Sektoren Bank- und Gesundheitswesen, Trink- und Abwasser, Digitale Infrastruktur und Verwaltung von IKT-Diensten sowie die öffentliche Verwaltung.

Unternehmen aus sog. „sonstigen kritische Sektoren“ (Anhang II) sind Post- und Kurierdienste, Unternehmen aus den Bereichen Abfallbewirtschaftung, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe/Herstellung von Waren und die Anbieter digitaler Dienste und Forschungseinrichtungen.

Geldbußen in Höhe von 10 Millionen EUR drohen

Je nach Über- oder Unterschreitung von Schwellenwerten (Anzahl Beschäftigte, Jahresumsatz und Jahresbilanz) und der Zuordnung von Unternehmen in die Kategorien „wesentliche“ und „wichtige“ Einrichtungen werden von Unternehmen mehr oder weniger Maßnahmen für die Cybersicherheit der vorgenannten Art abverlangt, bei deren Nichtvornahme Geldbußen „mit einem Höchstbetrag von mindestens“ 10 Millionen EUR (Art 3 Abs. 4 und 5) oder mit 2% des gesamten, weltweiten, im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem die wesentliche Einrichtung angehört, fällig werden können.

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

In Deutschland wurde bereits der Referentenentwurf für ein „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG) bekannt. Der Entwurf sieht eine vollständige Überarbeitung und Erweiterung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) vor.

Verantwortung der Geschäftsleitung für das Cyberrisikomanagement

Diese rechtlichen Vorgaben an das Cyberrisikomanagement müssen von der Geschäftsleitung gebilligt und ihre Umsetzung von der Geschäftsleitung überwacht werden (§ 38 Abs. 1 BSIG-E. Diese Regelung bestätigt einmal mehr, was im GmbH und Aktienrecht längst anerkannt ist, nämlich, dass Cyber-Security Aufgabe der Geschäftsleitung ist.

Persönlichen Haftung der Geschäftsleiter gegenüber der Gesellschaft

Kommen die Geschäftsleiter betroffener Einrichtungen dieser Verpflichtung nicht nach, haften sie der Einrichtung wegen eines daraus resultierenden Schadens (§ 38 Abs. 2 BSIG-E). Der deutsche Gesetzgeber folgt damit der Forderung des europäischen Richtliniengebers nach einer persönlichen Haftung der Geschäftsleiter gegenüber der Gesellschaft, die die Unternehmensverbände erfolglos zu verhindern versucht haben.

Bei besonders wichtigen Einrichtungen geht der Entwurf sogar so weit, dass das BSI der Geschäftsleitung die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen kann, wenn diese Anordnungen des BSI missachten (§ 64 Abs. 6 Nr. 2 BSIG-E).

Voraussichtlich große Auswirkung für Unternehmen

In Fachkreisen wird durch die NIS-2-Verpflichtungen – zusammen mit den o.g. weiteren, bereits in Aussicht stehenden IT-Sicherheitsvorschriften- eine ähnlich große Auswirkung für Unternehmen vorausgesehen wie mit der Einführung der DSGVO im Jahre 2018.

Unternehmen sollen sich daher mit NIS-2 frühzeitig befassen, um eine reibungslose Umsetzung zu erreichen.

Dabei unterstützen wir Sie gerne.

Autor: Oliver Korth, LL.M.