Zum 1. Mai 2023 müssen Unternehmen nach dem BSIG die Angriffserkennung verbessern: Betreiber kritischer Infrastrukturen (KRITIS) müssen bis dahin Systeme zur Angriffserkennung implementieren. Derweil arbeitet der deutsche Gesetzgeber an der Umsetzung der NIS-2, die Richtlinie (EU) 2022/2555 ins deutsche Recht. Die Richtlinie ist Ende Dezember 2022 im Amtsblatt verkündet wurde und muss bis Oktober 2024 umgesetzt werden. Sie bringt einige Nachjustierungen für die KRITIS-Betreiber und insbesondere ganz neue Pflichten für wesentliche und wichtige Einrichtungen. Etliche Unternehmen werden dadurch erstmals in Sachen IT-Sicherheit streng reguliert!
Bekannt und bewährt: KRITIS-Regulierung
Im Ausgangspunkt entscheidend, welche IT-Sicherheitsanforderungen Unternehmen einzuhalten haben, ist die Einordnung als „KRITIS“ oder eben nicht. „KRITIS“ steht für Kritische Infrastrukturen. Das sind Anlagen oder Systeme, die maßgeblich für das Funktionieren elementarer gesellschaftlicher Institutionen sind, also z.B. die Gesundheit der Bevölkerung, die Versorgung mit Wasser und Strom oder die Logistik der wichtigsten Güter. Betreiber von KRITIS-Anlagen sind schon lange zu einem deutlich höheren Sicherheitsniveau verpflichtet, als andere Unternehmen. Wer genau davon erfasst ist, regelt die BSI-Kritisverordnung.
Neu: IT-Sicherheit auch für andere Unternehmen
Mit der NIS-2-Richtlinie kommt neu jetzt auch eine spezifische Pflicht zur Einhaltung bestimmter Standards für nicht KRITIS-Unternehmen. Der Adressatenkreis wird dadurch deutlich ausgeweitet. Begrifflich dreht es sich dabei um wesentliche und wichtige Einrichtungen.
Vom Anwendungsbereich erfasst sein werden nicht nur typischen KRITIS, die in Anhang I der Richtlinie gelistet sind, sondern auch weitere für Gesellschaft und Wirtschaft bedeutende Einrichtungen (Anhang II). Dies sind etwa Unternehmen, die chemische Stoffe produzieren, herstellen oder damit handeln. Das sind auch Unternehmen aus dem Maschinenbau oder sogar Anbieter digitaler Dienste. Der persönliche Anwendungsbereich wird damit erheblich ausgeweitet. Grund dafür ist, dass auch diese Unternehmen und Einrichtungen für Gesellschaft und Wirtschaft eine herausragende Bedeutung haben und zugleich die Cyberrisiken kontinuierlich steigen. Erfasst werden dabei jedenfalls als wichtige Einrichtungen (strengere Vorgaben gelten für wesentliche Einrichtungen) auch mittlere Unternehmen. Das sind Unternehmen ab 50 Mitarbeitern mit einem Umsatz oder einer Bilanzsumme von 10 Mio. Euro jährlich oder mehr.
Materiell legt die NIS-2-Richtlinie Mindeststandards für wesentliche und wichtige Einrichtungen fest. Erfasste Einrichtungen haben geeignete und verhältnismäßige Risikomanagementmaßnahmen zu ergreifen, Risiken koordiniert zu bewerten und einige Berichtspflichten zu erfüllen (Art. 21 ff.).
Neu sind zudem strikte Bußgeldvorschriften: Während die NIS-1-Richtlinie in ihrem Art. 21 noch ausschließlich auf die Mitgliedsstaaten setzte, die selbst Vorschriften über Sanktionen zur Einhaltung der Richtlinie festlegen sollten, sieht die NIS-2-Richtlinie nun einen Mindestbetrag für Verstöße gegen die Richtlinie bzw. ihre nationale Umsetzung vor (bis zu 10 Mio. Euro oder 2% des weltweiten Umsatzes des Unternehmens bei wesentlichen Einrichtungen, bis zu 7 Mio. Euro oder 1,4% des Umsatzes bei wichtigen Einrichtungen, Art. 34 Nr. 4, 5 NIS-2-Richtlinie). Die Richtlinie schließt jedoch eine doppelte Sanktionierung nach DSGVO und dieser Richtlinie gleichzeitig aus (Art. 35 NIS-2-Richtlinie). Im Falle eines Doppelverstoßes soll die zuständige Datenschutzbehörde den Fall insofern übernehmen können, als dass nach einer Sanktion durch diese keine weitere Sanktion durch die NIS-2-Richtlinie bzw. deren Umsetzung möglich sein soll.
Zu erheblichen Neuerungen führt die NIS-2-Richtlinie zudem bei der öffentlichen Hand. So ist eine EU-Schwachstellendatenbank einzurichten, mit koordinierter Offenlegung, jeder Mitgliedstaate hat eine nationale Cybersicherheitsstrategie zu erlassen und zentrale Anlaufstellen einzurichten. Zudem wird das Europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe) offiziell eingerichtet. Es soll die Bewältigung massiver Cybersicherheitsvorfälle koordinieren (Art. 16 NIS-2-Richtlinie).
Am Horizont: Der Cyber Resilience Act
Deutlich breiter wird der Anwendungsbereich des in den Startlöchern stehenden sog. Cyber Resilience Act sein, eine EU-Verordnung, zu der die EU-Kommission im September 2022 einen ersten Entwurf vorgelegt hat (COM(2022) 454 final). Diese Verordnung nimmt die Cybersicherheit von Produkten mit digitalen Elementen in den Blick. Sie strebt eine Verbesserung derselben an, indem sie eine hinreichende Cybersicherheit als Voraussetzung für ein (zivilrechtlich) mangelfreies Produkt definiert. Sowohl das Inverkehrbringen digitaler Produkte als auch die Überwachung derselben während ihrer Nutzungsdauer sind Gegenstand des Cyber Resilience Acts, auch Cyberresiliencegesetz genannt.
Nicht zu vergessen: Die DSGVO
Nicht zu vergessen ist schließlich die Forderung der DSGVO, einen angemessenen Sicherheitsstandard bei der Verarbeitung personenbezogener Daten einzuhalten (Art. 25, 32 DSGVO). Auch diese Pflicht trifft alle Unternehmen, nicht nur KRITIS-Betreiber, auch hier drohen bei Verstößen empfindliche Bußgelder.
Aktiv werden! Die Neuregelungen machen eines deutlich: Unternehmen sollten frühzeitig aktiv werden und im Blick haben, ob die NIS-2-Regelungen für sie gelten. Denn wenn der Gesetzgeber die Regelungen implementiert, bleibt nicht mehr viel Zeit, der Pflichtenkatalog für erstmals regulierte Unternehmen wird aber – je nach aktuellem IT-Sicherheitsstand – lang werden …