Auf Unternehmen und ihre Leitungsorgane kommen weitreichende Pflichten zu
Die Cyber-Sicherheit ist aktuell eine der wichtigsten Aufgaben für Unternehmen. Dies hat auch der Gesetzgeber erkannt: Zum Jahreswechsel ist auf EU-Ebene die sog. NIS-2-Richtlinie in Kraft getreten, die „Network and Information Security 2.0“-Richtlinie. Der deutsche Gesetzgeber bereitet derzeit die Umsetzung ins nationale Recht vor. Vorgelegt hat er dafür einen Referentenentwurf, der es in sich hat: Er enthält umfangreiche Pflichten für viele Unternehmen. Hinzu kommt eine ausdrückliche Pflicht des Leitungsebene, Cyber-Sicherheit zu überprüfen und umzusetzende Maßnahmen zu billigen. Delegiert werden darf dies nicht, im Schadensfall muss sogar gehaftet werden. Grund genug für Unternehmen und den neuen Cyber-Vorstand, sich die Regelungen genauer anzusehen.
Wichtig ist: Unternehmen und ihre Leitungsorgane müssen vorbereitet sein! Auf das neue Gesetz, insbesondere aber überdies auf einen möglichen Cyber-Angriff. Das ein solcher kommt, ist aus Expertensicht keine Frage – Frage ist nur, wann und mit welcher Intensität Hacker zuschlagen.
Weiterführende Hinweise
Wir werden auf unserem Blog daher in den nächsten Tagen und Wochen die Neuregelungen, die der deutsche Gesetzgeber zur Umsetzung der NIS-2-Richtlinie (EU) 2022/2555 plant, genauer in den Blick nehmen. In unserer neuen Blog-Reihe zur Cyber-Sicherheit. Zum Auftakt gibt es heute einen Überblicks-Artikel.
Das C-Level schulen wir zudem in einem Exklusiv-Seminar in Kooperation mit der Bitkom Akademie: Mein geschätzter Kollege Dr. Eren Basar, Fachanwalt für Strafrecht und Partner in der Strafrechtskanzlei Wessing & Partner und ich, Dr. Kristina Schreiber, Fachanwältin für Verwaltungsrecht und Partnerin bei Loschelder Rechtsanwälte, schulen aktuelle und künftige Cyber-Vorstände. Weitere Informationen und die Möglichkeit der Anmeldung erhalten Sie hier: https://bitkom-akademie.de/workshop/exklusivseminar-cyber-vorstand
Fragen beantworten wir auch unabhängig davon immer gerne; unsere Kontaktdaten und weitere Informationen finden Sie unter www.cyber-vorstand.de
Deep Dive-Artikel zu den einzelnen Regelungsbereichen der NIS-2-Richtlinie und des deutschen Umsetzungsgesetzes insbesondere im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) finden Sie in den nächsten Tagen und Wochen eben an dieser Stelle, unter www.digitalisierungsrecht.eu und dem #cybersecurity
Die Ausgangslage
Cyber-Angriffe nehmen zu, die Schadensintensität ebenfalls. Folgerichtig nimmt auch die Regulierungsintensität zu: Der Gesetzgeber auf Unions- und nationaler Ebene verschärft die rechtlichen Anforderungen an eine ausreichende IT-Sicherheit. Dies geschieht derzeit in zweierlei Hinsicht: mit der NIS-2-Richtlinie hat der EU-Gesetzgeber zum einen den Anwendungsbereich der verpflichteten Unternehmen erweitert und zum anderen die materiellen Anforderungen an die IT-Sicherheit verschärft, etwa durch eine Pflicht zu umfassenden Risikomanagementmaßnahmen und die Inpflichtnahme der Leitungsebene ohne Delegationsmöglichkeit.
Der deutsche Gesetzgeber bereitet derzeit die Umsetzung vor und hat einen ersten Referentenentwurf mit Stand 03.07.2023 vorgelegt. Mit voller Bezeichnung lautet er „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“. Sein Artikel 1 sieht umfassende Änderungen des BSIG vor; in der Folge nehmen wir daher auch regelmäßig auf die einzelnen Vorschläge im BSIG-Referentenentwurf, kurz BSIG-E, Bezug.
Nach der EU-Vorgängerrichtlinie (NIS-1) aus 2016 waren Betreiber sog. „kritischer Infrastrukturen“ adressiert (sog. KRITIS). Dies sind gemäß der Legaldefinition in der BSI-Kritisverordnung u.a. Unternehmen der Energie- und Wasserversorgung, aus dem Transportsektor oder auch verschiedene Dienstleister im Bereich Finanzen oder Gesundheitswesen.
Erweiterter Adressatenkreis
Die NIS-2-Richtlinie und damit auch das deutsche Umsetzungsgesetz (§ 28 BSIG-E) erweitern den Adressatenkreis der Einrichtungen, die strikte Cyber-Sicherheitsvorgaben einzuhalten haben.
Wie auch bisher erfasst bleiben Betreiber kritischer Infrastrukturen, sog. KRITIS. Diese Einrichtungen werden nunmehr als „besonders wichtig“ oder, in der Richtlinie, auch „wesentlich“ bezeichnet. Eine funktionierende IT ist aber auch für weitere Bereiche elementar, damit Staat und Gesellschaft funktionieren können. Ebenfalls adressiert werden künftig daher „wichtige“ Einrichtungen. Die neuen Adressaten kommen aus den folgenden Sektoren:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen,
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- verarbeitendes Gewerbe und Hersteller von Waren (etwa Hersteller von Medizinprodukten, Datenverarbeitungsgeräten, oder Maschinen- und Fahrzeugbauer)
- Anbieter digitaler Dienste (z.B. Online-Marktplätze oder soziale Netzwerke)
- Forschung
Zumindest Unternehmen mit mehr als 50 Beschäftigten und einem Jahresumsatz oder einer Bilanzsumme von mehr als 10 Mio. Euro, die in den vorgenannten Sektoren tätig sind, müssen die neuen IT-Sicherheitsanforderungen umsetzen. Dies ist eine niedrige Grenze.
IT-Sicherheitsvorgaben
Unternehmen, die neu in Anwendungsbereich der NIS-2-Richtlinie fallen, werden erstmals gesetzlich vorgegeben konkrete IT-Sicherheitsvorgaben implementieren müssen. Unternehmen, die bereits jetzt als KRITIS eingestuft sind und bereits IT-Sicherheitsvorgaben einhalten, müssen zukünftig mit verschärften Anforderungen rechnen.
Im Bereich der Prävention müssen wichtige und besonders wichtige Einrichtungen künftig umfassende Risikomanagementmaßnahmen etablieren, konkret „geeignete und verhältnismäßige technische, operativer und organisatorische Maßnahmen“, um Risiken für die Sicherheit ihrer Netz- und Informationssysteme und die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten (Art. 21 NIS-2-Richtlinie, § 30 BSIG-E).
Gefordert werden Maßnahmen zumindest zu den folgenden zehn Punkten:
- Konzepte für Risikoanalysen und Sicherheit von IT-Systemen
- Bewältigung von Sicherheitsvorfällen
- Back-Up Management
- Sicherheit der Lieferkette
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und IT-Systemen
- Bewertung der Wirksamkeit des Risikomanagements im Bereich der Cybersicherheit
- Verfahren im Bereich der Cyberhygiene (z.B. Hard- und Softwareupdates, Passwortsicherungen, Datensicherung) und Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- Verwendung von Multi-Faktor-Authentifizierung und gesicherte (Notfall-) Kommunikation
Von besonderer Bedeutung für die Praxis ist außerdem die Einbeziehung der Lieferketten in die Risikomanagementmaßnahmen. Der europäische Gesetzgeber macht hier vermehrt Vorfälle aus, bei denen Schwachstellen im Zusammenhang mit den Produkten und Diensten Dritter ausgenutzt werden. Aus diesem Grund sollen die Unternehmen dazu angehalten werden, Risikomanagementmaßnahmen in die Verträge mit ihren Lieferanten aufzunehmen (Erwägungsgrund 85 NIS-2-Richtlinie). Hierauf sollten sich die betroffenen Unternehmen bereits jetzt einstellen und die bestehenden Verträge mit ihren Lieferanten auf möglichen Anpassungsbedarf prüfen bzw. entsprechende Klauseln aufnehmen.
Der Cyber-Vorstand
Die Leitungsebene von wichtigen und besonders wichtigen Einrichtungen muss Maßnahmen zur Cyber-Sicherheit künftig billigen und überprüfen, ohne die delegieren zu dürfen. Der deutsche Gesetzgeber sieht in § 38 BSIG-E eine strikte Umsetzung der von der NIS-2-Richtlinie vorgesehenen Führungsverantwortung vor und geht dabei über die zwingenden Anforderungen der Richtlinie hinaus.
Für die Geschäftsleitung bringt dies eine deutlich verschärfte Verantwortung im Bereich der Cyber-Sicherheit mit sich. Dies wiegt umso schwerer, als etwaige Haftungsansprüche von Unternehmen wegen Pflichtverletzungen durchgesetzt werden müssen, ein Vergleich über derartige Ersatzansprüche ist unzulässig.
Um die Führungsebene mit dem dafür notwendigen Know-How auszustatten, werden Schulungen ebenfalls gesetzlich verpflichtend vorgesehen.
Informationsaustausch
Praktisch interessant ist die in der Richtlinie vorgesehene Möglichkeit des Informationsaustausches über Cybersicherheit zwischen Unternehmen bzw. die freiwillige Meldung an Behörden (Art. 29 f. NIS-2-Richtlinie). Es ist vorgesehen, dass die unter die Richtlinie fallenden Unternehmen und „gegebenenfalls“ auch andere Einrichtungen auf freiwilliger Basis Cybersichersicherheitsinformationen untereinander austauschen können. Dadurch sollen bessere Erkenntnisse zum Beispiel über Cyberbedrohungen, Beinah-Vorfälle, Schwachstellen, gegnerische Taktiken und Sicherheitsempfehlungen ermöglicht werden. Bei einem solchen Informationsaustausch sollten Unternehmen aber auch stets die kartell- und wettbewerbsrechtlichen Grenzen des Informationsaustausches beachten. Hier den richtigen Spagat zu finden, kann in der Praxis eine Herausforderung sein. Im Sinne der Sicherheit ist aber zu hoffen, dass ein lebhafter, wettbewerbsfreundlicher Informationsaustausch entstehen wird.
Die nächsten Schritte für Unternehmen
Unternehmen sollten bereits jetzt prüfen, ob sie unter dem Anwendungsbereich der NIS-2-Richtlinie und dem BSIG-E fallen. Ist dies der Fall, sollten sie schon jetzt die neuen Anforderungen analysieren und prüfen, wo im eigenen Unternehmen Nachbesserungsbedarf besteht.
Das BSIG-E wird ab Oktober 2024 gelten. Müssen umfassende Optimierungen der IT-Sicherheit umgesetzt werden, ist dies nicht viel Zeit neben dem Alltagsgeschäft. Für Unternehmen, die neu unter den Anwendungsbereich der NIS-2-Richtlinie fallen, rechnet die Kommission im Durchschnitt mit einer Steigerung der Ausgaben für Cybersicherheit um 22%. Für Unternehmen, die bereits nach der NIS-1-Richtlinie reguliert sind, wird die Erhöhung des Cybersicherheitsbudgets von immerhin 12% ausgemacht.
Wir freuen uns über Ihr Interesse an unserem Beitrag! Weitere Informationen finden Sie in den nächsten Tagen und Wochen auf diesem Blog, unter www.cyber-vorstand.de oder Sie sprechen uns direkt an: kristina.schreiber@loschelder.de