+49(0)202 / 9422900 Telefon
04.07.2023

NIS2UmsuCG – „Zeitenwende“ in der IT-Branche?

Anlässlich der im Cybersicherheitsbericht 2022 festgestellten wachsenden Bedrohungslage spricht das Bundesamt für Sicherheit in der Informationstechnik (BSI) – in Anlehnung an Kanzler Scholz – von einer „Zeitenwende“ für die Cybersicherheit. Eine rechtliche Basis zum Bestreiten dieser Herausforderung wird wohl die NIS-2-Richtlinie bilden, die umfangreiche Änderungen in Europa – und Deutschland – vorsieht. In Deutschland ist am 02.04.2023 der erste Gesetzesentwurf zur Umsetzung der EU-Richtlinie mit dem unaussprechlichen Namen „NIS2UmsuCG“ an die Öffentlichkeit gelangt. Wir geben einen Einblick darin, was sich ändern könnte und welche Schritte Unternehmen im Weiteren beachten müssen.

Was bedeutet NIS überhaupt und für wen wird diese Richtlinie relevant?

NIS steht für „European Network and Information Security Directive“, was mit „EU-Richtlinie zur Netzwerk- und Informationssicherheit“ übersetzt werden kann. Während NIS-1 noch aus dem Jahre 2016 stammt, trat NIS-2 erst am 16. Januar 2023 in Kraft. Als EU-Richtlinie bedarf NIS-2 noch Umsetzungsgesetzen in den einzelnen EU-Mitgliedsstaaten, um dort Wirksamkeit entfalten zu können. Dabei können die nationalen Gesetze sogar strenger sein, als die europäische Vorlage. Die Frist zur Umsetzung tickt bereits und muss in Deutschland bis zum 17.10.2024 erfolgen. Anhand der Umsetzungsdauer von NIS-1 (≈11 Monate) ist eine Umsetzung bis Dezember 2023 als wahrscheinlich anzusehen. Mit der Veröffentlichung des deutschen Referentenentwurfs zum NIS2UmsuCG können nun erstmals Gemeinsamkeiten und Unterschiede vorläufig eingeschätzt werden. Als sog. Mantelgesetz fasst NIS2UmsuCG Änderungen an mehreren Gesetzen unter dem „Mantel“ einer bestimmten Thematik zusammen. Die meisten Änderungen sind im BSIG geplant (hier neue Version als BSIG2 bezeichnet).

NIS-2 sieht eine – wenn nicht die – größte Erweiterung des Anwendungsbereiches für (Mindest-)Cybersicherheitsanforderungen vor, weil nun auch kleinere Unternehmen und weitere Branchen erfasst werden. Derzeit wird von bis zu 30.000 neu betroffenen Unternehmen ausgegangen. Hervorzuheben ist, dass nun z. B. „mittlere Unternehmen“ miterfasst werden. Dies sind solche, die 50 oder mehr Mitarbeiter und/oder über 10 Mio. € Jahresumsatz haben. Allerdings müssen diese dann auch bestimmten Sektoren* zugehörig sein. Darüber hinaus wird NIS2UmsuCG auch für die Betreiber von KRITIS und größeren Unternehmen durchaus interessant.

*(Unter anderem: Energie, Transport u. Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Telekommunikation, Verwaltung, B2B-IKT-Dienste, Weltrauminfrastruktrur; (NIS-2, Anhang II:) Logistik, Siedlungsabfall, Produktion, Chemie, Ernährung, Verarbeitendes Gewerbe, Anbieter digitaler Dienste, Forschung)

Drei versus zwei Einrichtungstypen – Macht Deutschland alles anders?

Eine der Fragen, die viele Unternehmen nun klären müssen, ist die, ob sie nun unter die neue Regelung fallen oder nicht. Die EU-Richtlinie sieht vor, dass nur in zwei Typen von Einrichtungen unterschieden wird: Wesentliche („essential“) und wichtige („important“) Einrichtungen. Der deutsche Entwurf ist anders. Hier unterscheidet man zwischen kritischen Anlagen (KRITIS/KRITAN), besonders wichtigen Einrichtungen (BWE) und wichtigen Einrichtungen (WE) (in abstufender Reihenfolge). Wichtig ist diese Unterscheidung deshalb, weil sich Pflichten und angedrohte Bußgelder an diesen Kategorien orientieren: Desto wichtiger eine Einrichtung, desto mehr Pflichten haben die Betreiber und desto mehr Strafe droht bei Verstößen.

Bislang unterscheidet man in Deutschland zwischen kritischen Infrastrukturen (KRITIS) und Unternehmen im besonderen öffentlichen Interesse (UBI). KRITIS-Betreiber können mit der neuen Regelung erst einmal darauf vertrauen, dass ihre Einstufung bestehen bleibt, weil eine nahezu deckungsgleiche Kategorie (KRITAN) vorgesehen ist. Die KRITIS werden zukünftig strenggenommen als Subkategorie der besonders wichtigen Einrichtungen geführt, weshalb nun der Begriff der „Anlagen“ verwendet wird, § 28 III Nr. 4 BSIG2. Wegen ihrer hohen Systemrelevanz sollen sie aber wohl weiter eine besondere Adressatengruppe für gesetzliche Regelungen sein. Die Kategorie der UBIs hat kein direktes Äquivalent bekommen, sodass Betreiber hier eine komplette Reevaluation ihrer Einstufung vornehmen müssen.

Welche neuen Pflichten sind zu erwarten?

Der Pflichtenkatalog in NIS2UmsuCG ist sehr umfangreich. Folglich können wir hier nur die essentiellsten Pflichten erklären und müssen ansonsten auf einzelfallbezogene Rechtsberatung verweisen.

Die größte praktische Relevanz wird wohl die Registrierungspflicht beim BSI haben, § 32 I BSIG2. Wer nun neuerdings in eine der drei Kategorien fällt, muss sich spätestens innerhalb von 3 Monaten beim BSI registrieren. Bei neuen KRITIS/KRITAN muss die Registrierung sogar innerhalb nur eines einzigen Werktages erfolgen.

Dabei sind die groben Richtwerte (Mitarbeiter, Umsatz) leider nicht abschließend. Bisweilen fallen Unternehmen größenunabhängig nur wegen des Typs des Geschäftsmodells unter die Regelungen (z. B. DNS-Dienstanbieter). Bei Anbietern von öffentlicher Telekommunikation gibt es Sonderregeln, nach denen schon mittlere Unternehmen als BWE gelten. Zudem gibt es auch noch variable Einstufungen. So können auch kleinere Unternehmen unter NIS2UmsuCG fallen, wenn sie z. B. der einzige Anbieter eines Dienstes in einem EU-Land sind (vgl. Art. 3 I lit. e) NIS-2).

Drei- bis fünfstufiges Meldesystem

Neu ist auch ein drei- bis fünfstufiges Meldesystem bei erheblichen Sicherheitsvorfällen gem. § 2 I Nr. 10, Nr. 37 iVm § 31 I Nr. 1-4 BSIG2 nach folgendem Schema:

  1. Erstmeldung: Spätestens 24 Stunden nach Kenntnis von einem erheblichen Sicherheitsvorfall. (+ Info ob Verdacht auf rechtswidrige und/oder böswillige Handlungen zurückzuführen ist o. grenzüberschreitende Auswirkungen hat, § 31 I Nr. 1 BSIG2).
  2. Zweitmeldung: Spätestens 72 Stunden nach Kenntnis von erh. Sicherheitsvorfall – Bestätigung/Aktualisierung Infos aus Erstmeldung, erste Bewertung (Schweregrad, Auswirkungen, Kompromittierungsindikatoren).
  3. Ggfs. Zwischenmeldung: Auf Ersuchen des BSI muss ggfs. Statusaktualisierung erfolgen.
  4. Ggfs. Fortschrittsmeldung: Spätestens 1 Monat nach Zweitmeldung (Übermittlung) muss eine Fortschrittsmeldung erfolgen, wenn Sicherheitsvorfall noch andauert.
  5. Abschlussmeldung: Spätestens 1 Monat nach Zweitmeldung (Übermittlung) ODER nach Abschluss d. Bearbeitung d. Sicherheitsvorfalls (nach Fortschrittsmeldung); Ausführliche Beschreibung d. Vorfalls, Schweregrad, Auswirkungen, Bedrohungsart, Ursache, Abhilfemaßnahmen, grenzüberschreitende Auswirkungen.

Maßnahmenkatalog

Ein zentraler Inhalt ist ein Maßnahmenkatalog in § 30 IV BSIG2, der klarstellt, welche Anforderungen konkret an die Unternehmen gestellt werden. Die Maßnahmen müssen umfassen:

  1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
  2. [Konkrete Pläne für] Bewältigung von Sicherheitsvorfällen
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
  7. Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
  8. Konzepte und Verfahren für den Einsatz von Kryptographie und Verschlüsselung
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie ggfs. gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Dokumentationspflichten / Nachweispflichten

Ab voraussichtlich 2025/26 werden BWE auch verpflichtet sein, all diese Maßnahmen zu dokumentieren und alle 2 Jahre dem BSI nachzuweisen, § 34 I BSIG2.

Besonderes Interesse sollte § 38 BSIG2 genießen, denn hier werden konkrete Pflichten für die Geschäftsleitungen (§ 2 I Nr. 11 BSIG2) von Unternehmen vorgesehen. Geschäftsleitungen sollen in Zukunft nämlich die Billigung & Überwachung der in § 30 BSIG2 neu vorgeschriebenen Sicherheitsmaßnahmen nicht mehr an Dritte delegieren dürfen. Sie müssen selbst die die Fähigkeiten und Kenntnisse für die Erreichung des digitalen Schutzniveaus (aus Managementperspektive) erwerben – z. B. durch Schulungen. Bei Nichtbeachtung & Schäden haftet eine Geschäftsleitung in Zukunft persönlich. Vergleiche und Verzichte auf diese Ansprüche durch die Einrichtung werden gesetzlich für unwirksam erklärt, § 38 III BSIG2. Bei BWE können bei Verstößen gar Sicherheitszertifizierungen ausgesetzt werden, § 64 VI Nr. 1 BSIG2, oder der Geschäftsführung die Ausübung ihrer Aufgaben temporär untersagt werden, § 64 VI Nr. 2 BSIG2.

Bei letzteren Regelungen sollten bei Unternehmen die Alarmglocken läuten. Müssen Unternehmen nämlich nun nach § 30 BSIG2 die Sicherheit der Lieferketten sicherstellen, sind sie gezwungen, bei Verlust von Sicherheitszertifizierungen bei ihrem Anbieter, auf einen anderen umzustellen. Teilweise soll dies sogar gesetzlich vorgeschrieben werden, § 30 IX BSIG2. Faktisch könnte das für Unternehmen den Komplettverlust von einem oder gar allen Kunden bedeuten, falls sie aufgrund eines Verstoßes ihre Zertifizierung verlieren.

Mithin sollen BWE bereits 1 Jahr nach dem Inkrafttreten von NIS2UmsuCG verpflichtet sein, am Informationstausch zu Schwachstellen teilzunehmen, §§ 6, 30 X BSIG2, was eine Verschärfung zu Art. 29 NIS-2 darstellt.

Welche Strafen drohen bei Verstößen?

Bei den Geldbußen wird zwischen BWE und WE unterschieden. KRITAN werden in diesem Zusammenhang zu den BWE gezählt. Bei BWE drohen eine maximale Geldbuße von 10 Mio. € oder ein Höchstbetrag von mindestens 2% des gesamten weltweiten Umsatzes des Unternehmens, zu dem die Einrichtung gehört (vorangegangenes Geschäftsjahr) – je nachdem was von beidem höher ist. Bei WE drohen eine maximale Geldbuße von 7 Mio. € oder mind. 1,4% des ges. weltweiten Umsatzes.

In der Begründung des NIS2UmsuCG-Entwurfes werden sogar Strafen von bis zu 20 Mio. € genannt. Im Gesetzestext spiegelt sich dieser Gedanke dort aber (noch) nicht wieder. Die Möglichkeit höherer Bußgeldrahmen in Deutschland steht damit allerdings im Raum.

Was ist mit Blick auf die Zukunft zu tun?

Ratsam für Unternehmen ist es, bereits jetzt erste Schritte zu unternehmen und weitere rechtliche Entwicklungen im Auge zu behalten. Nicht nur, weil so die gesetzlichen Vorgaben erfüllt werden, sondern weil man so existenzielle Bedrohungen abwenden kann. Das BSI registrierte bereits im vergangenen Jahr 20.174 Software-Schwachstellen, von denen ganzen 13% kritischer Natur waren. Für 207 Tage wurde zudem der Katastrophenfall ausgerufen, weil staatliche Einrichtungen viele Sozialleistungen aufgrund eines Ransomware-Angriffs nicht bedienen konnten. Mithin wurde 2022 eine Zunahme der Anzahl von Schadprogrammvarianten um 116 Millionen beobachtet.

Sehr hilfreich könnte es sein, im Vorhinein bereits alle Fragen zur Einstufung des eigenen Unternehmens sowie benötigten Systemen und Personal beantwortet zu haben. Schließlich wird die Nachfrage nach diesen Ressourcen nach Verabschiedung von NIS2UmsuCG voraussichtlich sprunghaft steigen. Eine späte Reaktion wird aufgrund des dann stärkeren Wettbewerbs wohl absehbar deutlich teurer werden. Auch die Verfügbarkeit von Beratungsressourcen dürfte diesem Muster folgen.

Am Horizont steht letztlich auch noch die Umsetzung der CER-Richtlinie, die den digitalen Schutzstandard von NIS-2 mit einem erhöhten Standard für die physische Resilienz von KRITIS ergänzen soll. Eine entsprechende Umsetzung wird mit dem KRITIS-Dachgesetz erfolgen.

Schlussendlich wird eine rechtliche Beratung in den meisten Fällen dringend erforderlich werden. Sollten Sie sich dabei für unsere Kanzlei entscheiden, begleiten wir Sie gerne mit unserer fachanwaltlichen Beratung durch diese Zeit und helfen Ihnen, eine optimale Strategie zur Meisterung der kommenden rechtlichen Herausforderungen zu verfolgen.

Vorträge zu diesem Thema halten wir bereits auf Anfrage und bieten diese für einzelne Unternehmen und Vereinigungen auch weiter an.

Benno Gerwinn

Wissenschaftlicher Mitarbeiter

Suchen

Letzte Beiträge

Archiv

Siegel