Die Adressaten des neuen IT-Sicherheitsrechts

Die Cyber-Sicherheit ist aktuell eine der wichtigsten Aufgaben für Unternehmen. Dies hat auch der Gesetzgeber erkannt: Zum Jahreswechsel ist auf EU-Ebene die sog. NIS-2-Richtlinie in Kraft getreten. Der deutsche Gesetzgeber bereitet derzeit die Umsetzung ins nationale Recht vor und hat einen Referentenentwurf vorgelegt. Der heutige Blog-Beitrag vertieft die Frage, wer von den neuen gesetzlichen Anforderungen in der Privatwirtschaft überhaupt adressiert wird.

Wichtig ist: Das neue IT-Sicherheitsgesetz adressiert diverse Unternehmen und nicht nur die Betreiber von kritischen Infrastrukturen, den sog. KRITIS. Mit neuen Pflichten in Sachen IT-Sicherheit werden auch „wichtige“ und „besonders wichtige“ Einrichtungen belegt. Dies sind sogar mittelgroße Unternehmen aus den unterschiedlichsten Branchen, etwa dem produzierenden Gewerbe oder auch der Lebensmittelindustrie.

Wer genau von den neuen Vorgaben adressiert wird und sich daher auf das neue IT-Sicherheitsrecht schon jetzt vorbereiten sollte, vertiefen wir in diesem Beitrag.

Einen Überblick über das neue IT-Sicherheitsrecht finden Sie in unserem Blogbeitrag https://digitalisierungsrecht.eu/neues-it-sicherheitsrecht/

Verpflichtete des neuen IT-Sicherheitsrechts

Das neue IT-Sicherheitsrecht wird nicht von allen Unternehmen umzusetzen sein, sondern nur von den Normadressaten:

  • KRITIS-Betreibern
  • Wichtige Einrichtungen
  • Besonders wichtige Einrichtungen

Ob ein Unternehmen in eine dieser Kategorien fällt, hängt von zwei Dimensionen ab:

  • Der Größe der Einrichtung mit Blick auf Mitarbeitende und Jahresumsatz und -bilanz sowie
  • der Sektor, Bereich, in dem die Einrichtung tätig ist.

Je nachdem, in welche Kategorie ein Unternehmen fällt, unterscheidet sich dann auch der genaue Pflichtenkreis. Im Ausgang ist aber entscheidend, ob Ihr Unternehmen überhaupt einem der Adressatenkreise zuzuordnen ist.

Um dabei nicht unnötig für Verwirrung zu sorgen, handelt dieser Blog-Beitrag strikt von KRITIS-Betreibern, „wichtigen“ und „besonders wichtigen“ Einrichtungen. Das sind die vom deutschen Gesetzgeber verwendeten Begrifflichkeiten. Die NIS 2-Richtlinie spricht dagegen von wesentlichen und wichtigen Einrichtungen, der deutsche Gesetzgeber weicht hier von den Begrifflichkeiten ab, nicht aber im Regelungsgehalt. Die NIS 2-Begriffe bleiben nachfolgend außen vor.

Der deutsche Gesetzgeber hat in Umsetzung der NIS 2-Richtlinie einen Referentenentwurf vorgelegt, der umfassende Änderungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) vorsieht. Dieser ist Grundlage der nachfolgenden Ausführungen (Stand: 03.07.2023).

In § 28 BSIG-Entwurf soll der Anwendungsbereich des neuen IT-Sicherheitsrechts bestimmt werden, durch eine Legaldefinition der adressierten Einrichtungen. Dazu werden drei Gruppen näher bestimmt: Betreiber kritischer Anlagen, besonders wichtige Einrichtungen und wichtige Einrichtungen. Je nachdem, in welche Gruppe ein Unternehmen fällt, gelten dann unterschiedlich strenge Sicherheitsvorgaben.

KRITIS-Betreiber

Wie auch bisher sind Betreiber kritischer Anlagen (KRITIS-Betreiber) Adressaten der IT-Sicherheitspflichten.

Ein Betreiber kritischer Anlagen ist eine natürlich oder juristische Person oder eine rechtlich unselbständige Organisationseinheit einer Gebietskörperschaft, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine kritische Anlage ausübt. (§ 28 Abs. 2 BSIG-E)

Entscheidend ist also der kontrollierende Einfluss auf eine kritische Anlage. Kritische Anlagen wiederum werden, wie auch bisher, in der sog. KRITIS-Verordnung näher bestimmt. Als Rahmen gilt:

  • Sektorenbezug: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum sowie Siedlungsabfallentsorgung
  • Hohe Bedeutung für das Funktionieren des Gemeinwesens: bei Ausfall oder Beeinträchtigung würden erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten
  • Schwellenwerte: Festgelegt in der KRITIS-Verordnung, wie auch bisher

Die KRITIS-Betreiber bleiben also wie bisher solche Anlagenbetreiber, die von besonderer Bedeutung sind und einem der genannten Sektoren angehören. Hier kann es zu Änderungen ggü. der aktuellen Situation kommen, aber nicht zu einer völligen Umstrukturierung.

Besonders wichtige Einrichtungen

Neu adressiert werden darüber hinaus die besonders wichtigen Einrichtungen. Das sind:

  • Großunternehmen, die nur „knapp unter KRITIS“ liegen, aber im Wesetlichen denselben Sektoren angehören
  • Qualifizierte Vertrauensdiensteanbieter
  • Mittlere Unternehmen, die Telekommunikationsdienste anbieten oder öffentliche Telekommunikationsnetze betreiben
  • KRITIS-Betreiber (sie sind auch „besonders wichtige Einrichtungen“ und müssen damit alle an diese Einrichtungen gerichteten Normen des BSIG befolgen)
  • bestimmte Einrichtungen der öffentlichen Verwaltung

(§ 28 Abs. 6 BSIG-E)

Großunternehmen sind übrigens solche, die

  • mindestens 250 Mitarbeiter beschäftigen oder
  • einen Jahresumsatz von mind. 50 Mio. Euro und eine Jahresbilanzsummer von mind. 43 Mio. Euro

aufweisen (§ 2 Nr. 12 BSIG-E). Die Ermittlung folgt den Vorgaben der Empfehlung 2003/361/EG, ohne aber Partnerunternehmen und verbundene Unternehmen zusammen zu veranschlagen, sofern die in Rede stehende Einheit noch hinreichend unabhängig ist. Diese Differenzierung, wann nun verschiedene Unternehmen einer Gruppe zusammen veranschlagt werden und wann nicht, wird in der Praxis noch zu erheblichen Herausforderungen führen. Die klare Regelung der EU mag nicht immer zu den überzeugendsten Einzelfalllösungen führen (so die Kritik in der Begründung zum BSIG-E), hat aber den klaren Vorteil einer präzise anwendbaren Lösung.

Mittlere Unternehmen sind in Anlehnung an die genannte EU-Empfehlung Unternehmen mit

  • 50-249 Mitarbeitern und / oder
  • einem Jahresumsatz von 10-50 Mio. Euro sowie einer Jahresbilanzsumme von 10-43 Mio. Euro.

Bei Abweichungen nach unten müssen beide Parameter erfüllt sein, sonst ist es ein kleines Unternehmen. Weicht nur einer der beiden Parameter  nach oben ab und ist der andere erfüllt, so gilt das „oder“, es ist immer noch ein mittleres Unternehmen und kein Großunternehmen.

Wichtige Einrichtungen

Auch die wichtigen Einrichtungen werden neu adressiert. Das sind alle Einrichtungen, die nicht „besonders wichtig“ sind und zudem:

  • Mittlere Unternehmen in einem KRITIS-Sektor
  • Mittlere Unternehmen und Großunternehmen in einem der folgenden Sektoren, wenn die jeweilige Einrichtungsart in der noch zu aktualisierenden KRITIS-Verordnung gelistet wird
    • Logistik
    • Siedlungsabfallentsorgung
    • Produktion
    • Chemie
    • Ernährung
    • Verarbeitendes Gewerbe
    • Anbieter digitaler Dienste
    • Forschung
  • Vertrauensdiensteanbieter
  • Hersteller von Gütern, die auf der Kriegswaffenliste gelistet sind oder vom BSI zugelassene Produkte mit IT-Sicherheitsfunktion für staatliche Verschlusssachen
  • Oberer Bereich der Störfall-Verordnung

(§ 28 Abs. 7 BSIG-E)

Bemerkenswert ist die Adressierung von mittleren und großen Unternehmen bestimmter breiter Sektoren, etwa der Produktion, dem verarbeitenden Gewerbe und digitaler Dienste. In diesen Bereich können eine Vielzahl von Unternehmen neu hineinfallen, die so erstmals IT-Sicherheitsanforderungen des BSIG werden erfüllen müssen, insbesondere spezifische Risikomanagementmaßnahmen implementieren und ihre Leitungsorgane stärker einbinden müssen (§§ 30, 38 BSIG-E, dazu in den folgenden Beiträgen).

Das BSIG-E sieht dann noch einige Ausnahmen vor, die jeweils im Einzelfall zu prüfen wären.

Vergleich zur bisherigen Rechtslage in Deutschland

Das bisherige BSIG ist teilweise die Umsetzung der NIS 1-Richtlinie, ging über die Anforderungen dieser Richtlinie aber schon deutlich hinaus. Es kannte bereits die Kategorien besonders wichtige und wichtige Einrichtungen, die begrifflich so übernommen wurden, allerdings mit jetzt deutlich weiterreichenden Pflichten und einem auch nochmals erweiterten Adressatenkreis. Die bisherige Kategorie der Unternehmen im besonderen öffentlichen Interesse („UBI“) geht vollständig in der Kategorie der wichtigen Einrichtungen auf. Die Definitionen der jeweiligen Kategorien wurden jedoch an die Anforderungen der NIS 2-Richtlinie mit § 28 Abs. 3 und 4 BSIG-E völlig neu gefasst.

Auf den ersten Blick könnte angenommen werden, dass die bisherige Kategorie der kritischen Infrastrukturen den besonders wichtigen bzw. wesentlichen Einrichtungen entspricht. Jedoch unterschieden sich bereits die Sektoren, die die kritischen Anlagen bestimmen und diejenigen, die dem Anhang I der NIS 2-Richtlinie und damit den besonders wichtigen Einrichtungen zugeordnet werden, leicht. Zudem kommen zu den besonders wichtigen Einrichtungen noch weitere einzeln aufgelistete Einrichtungen hinzu, die gerade keine Mindestgröße erfordern. Insofern sind KRITIS-Betreiber von der Einteilung einer Einrichtung als besonders wichtig oder wichtig doch noch zu differenzieren.

Zu beachten ist weiterhin der Adressatenkreis bezüglich Anordnungen des Bundesamts gegenüber Diensteanbietern (§ 16 BSIG-E), Anbietern von Telemediendiensten (§ 17 BSIG-E) und Herstellern von IKT-Produkten (§ 18 BSIG-E). Die dort beschriebenen Pflichten fanden sich zuvor schon in §§ 7c und d BSIG. Hinzu kamen jedoch die Pflichten für Hersteller von IKT-Produkten.

Insgesamt ist damit eine Fortschreibung des bisherigen Rechts zu sehen, allerdings – notwendigerweise mit Blick auf die NIS 2-Richtlinie – auch mit deutlicher Ausweitung des Adressatenkreises.

Was tun?

Unternehmen aus den vorgenannten Sektoren, insbesondere jenen, die unter den „wichtigen Einrichtungen“ gelistet sind, sollten daher jetzt prüfen, ob sie in den erweiterten Anwendungsbereich fallen. Dies kann ab „mittlerer Größe“ der Fall sein, also ab 50 Mitarbeitern und 10 Mio. Euro Jahresumsatz bzw. Jahresbilanzsumme.

Wenn das eigene Unternehmen von den neuen IT-Sicherheitsanforderungen möglicherweise erfasst ist, sollte in die Detailprüfung eingestiegen werden: Sind bis Oktober 2024 die erweiterten Anforderungen einzuhalten, wird dies ein Kraftakt. Mit Blick auf begrenzte Ressourcen sollte dieser nicht zu spät angegangen werden.

Wir werden auf unserem Blog in den nächsten Tagen und Wochen die Neuregelungen, die der deutsche Gesetzgeber zur Umsetzung der NIS-2-Richtlinie (EU) 2022/2555 plant, auch inhaltlich noch genauer in den Blick nehmen: In unserer neuen Blog-Reihe zur Cyber-Sicherheit. Welche Pflichten gelten jetzt, insbesondere für die ganz neu adressierten Einrichtungen? Sie finden unsere Beiträge hier auf www.digitalisierungsrecht.eu unter #cybersicherheit

Wenn Sie das Thema weiter vertiefen möchten, bieten wir Ihnen ein Exklusiv-Seminar in Kooperation mit der Bitkom Akademie an: Mein geschätzter Kollege Dr. Eren Basar, Fachanwalt für Strafrecht und Partner in der Strafrechtskanzlei Wessing & Partner und ich, Dr. Kristina Schreiber, Fachanwältin für Verwaltungsrecht und Partnerin bei Loschelder Rechtsanwälte, schulen aktuelle und künftige Cyber-Vorstände. Weitere Informationen und die Möglichkeit der Anmeldung erhalten Sie hier: https://bitkom-akademie.de/workshop/exklusivseminar-cyber-vorstand

Fragen beantworten wir auch unabhängig davon immer gerne; unsere Kontaktdaten und weitere Informationen finden Sie unter www.cyber-vorstand.de