Entwurf des Umsetzungsgesetzes zur NIS2-Richtlinie
Eine Zeitenwende für die IT-Sicherheit in Deutschland?
Die im Dezember 2022 verabschiedete Network-and-Information-Security-Richtlinie 2.0 (NIS2-Richtlinie, Volltext) wird derzeit nahezu schon so intensiv diskutiert, wie seinerzeit die Datenschutz-Grundverordnung. Die Richtlinie gibt den Mitgliedsstaaten mindestharmonisierende Standards vor, die diese wiederum jeweils in einem nationalen Gesetz umsetzen müssen.
Unternehmen beobachten daher die nationalen Umsetzungsakte mit Spannung. In Deutschland wurde nun der Referentenentwurf für ein Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG) bekannt. Der Entwurf sieht eine vollständige Überarbeitung und Erweiterung des Gesetzes über das Bundesamt in der Informationstechnik vor (BSIG).
Im Zuge der umfassenden Reform des BISG (BSIG-E) soll sich die Anzahl der Paragrafen mehr als vervierfachen. Viele Vorschriften richten sich an private Unternehmen. Daneben enthält das BSIG-E zahlreiche Vorgaben und Anforderungen zum Informationssicherheitsmanagement des Bundes. Aus einem Gesetz, das ursprünglich nur die Aufgaben und Befugnisse einer Behörde regeln sollte, wird also mehr und mehr ein umfassendes Gesetzbuch zur Cybersecurity in Deutschland. Der folgende Beitrag gibt einen Überblick zu den Anforderungen, die auf private Unternehmen zukommen könnten.
Was soll sich für die Betroffenen ändern?
Das BSIG-E übernimmt umfassend den Katalog der Mindestsicherheitsanforderungen des Artikels 21 NIS2-Richtlinie. Die Intensität der geforderten Maßnahmen soll aus Gründen der Verhältnismäßigkeit zwischen den Einrichtungskategorien ausdifferenziert sein, wobei Betreiber kritischer Anlagen den strengsten Anforderungen unterliegen werden (§ 30 Abs. 3 BSIG-E).
Wenngleich das BSI die bislang recht knapp gehaltenen Anforderungen im BSIG durch Veröffentlichungen umfassend flankiert (etwa zum Einsatz von Systemen zur Angriffserkennung) hat, wird nun der Anforderungskatalog klar definiert:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
- Bewältigung von Sicherheitsvorfällen,
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall sowie Krisenmanagement,
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Fokus-Thema: Lieferkette
Dieser Katalog wird noch ergänzt durch einen weiteren brisanten Aspekt, indem er „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern“ fordert.
Dies macht klar, dass die Adressaten des BSIG in Zukunft klare vertragliche Vereinbarungen mit ihren Dienstleistern treffen müssen, um die Cybersicherheit umfassend umzusetzen.
Verantwortung der Geschäftsleitung für das Cyberrisikomanagement
Diese rechtlichen Vorgaben an das Cyberrisikomanagement müssen von der Geschäftsleitung gebilligt und ihre Umsetzung von der Geschäftsleitung überwacht werden (§ 38 Abs. 1 BSIG-E). Diese Regelung unterstreicht einmal mehr, was im GmbH und Aktienrecht ohnehin längst anerkannt ist, nämlich, dass Cyber-Security Aufgabe der Geschäftsleitung ist.
Kommen die Geschäftsleiter betroffener Einrichtungen dieser Verpflichtung nicht nach, haften sie der Einrichtung wegen eines daraus resultierenden Schadens (§ 38 Abs. 2 BSIG-E). Der deutsche Gesetzgeber folgt damit der Forderung des europäischen Richtliniengebers nach einer persönlichen Haftung der Geschäftsleiter gegenüber der Gesellschaft, die sich allerdings auch ohne spezialgesetzliche Normierung im BSIG-E in das System der gesellschaftsrechtlichen Organ-Innenhaftung des deutschen Aktien- und GmbH-Rechts fügt.
Bemerkenswert ist zudem, dass die Begründung des Gesetzesentwurfs die Klarstellung enthält, dass sowohl Regressforderungen als auch Bußgelder vom Schadensbegriff der Haftungsnorm des § 38 Abs. 2 BSIG-E erfasst sein sollen. Die Regressfähigkeit von Unternehmensbußen gegenüber Organmitgliedern ist im rechtswissenschaftlichen Schrifttum höchst umstritten und – soweit veröffentlichte Rechtsprechung dazu existiert – von den Gerichten bislang unter Hinweis auf den Sanktionscharakter der Geldbuße abgelehnt worden.
Der Entwurf sieht freilich noch weitere Sanktionsinstrumente vor, um die Geschäftsleitung zur Einhaltung der gesetzlich geforderten Risikomanagementmaßnahmen anzuhalten. Bei besonders wichtigen Einrichtungen geht der Entwurf sogar so weit, dass das BSI der Geschäftsleitung die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen kann, wenn diese Anordnungen des BSI missachten (§ 64 Abs. 6 Nr. 2 BSIG-E).
Verfahren für die Meldung von Sicherheitsvorfällen
Im Fall von Sicherheitsvorfällen soll es künftig einen vierstufigen Meldeprozess geben: (i) frühe Erstmeldung binnen 24 Stunden, (ii) Aktualisierung binnen 72 Stunden, (iii) ad-hoc Antworten auf Anfragen des BSI sowie (iv) Abschlussmeldung binnen eines Monats.
Schließlich sieht das BSIG-E eine signifikante Ausweitung des Anwendungsbereichs vor. Dazu weiter unten im Detail.
Vollständig überarbeitete Einrichtungskategorien
Bisher greift das BSI auf eine Reihe von eher schwer verständlichen Begriffen zurück, die die Adressaten beschreiben. Das BSIG spricht in diesem Zusammenhang von "Betreibern Kritischer Infrastrukturen“, „Anbieter digitaler Dienste“ und „Unternehmen im besonderen öffentlichen Interesse“.
Das BSIG-E weitet den Katalog der potenziell Betroffenen massiv aus. Obwohl das Bundesinnenministerium beim Entwurf des BSIG-E sichtlich bemüht war, die komplexen Definitionen der NIS2-Richtlinie etwas zu vereinfachen, wird der Rechtsanwender nun mit einem neuen Level an schwer zu überblickenden Definitionen konfrontiert. Das BSIG-E soll demnach künftig folgende Einrichtungskategorien kennen (siehe § 28 BSIG-E):
- Betreiber kritischer Anlagen: Was kritische Anlagen sein sollen, soll auch in Zukunft über eine Rechtsverordnung definiert sein. Es wird also deutlich, dass der deutsche Gesetzgeber sich hier sehr nahe an den bisherigen kritischen Infrastrukturen orientieren wird.
- Betreiber besonders wichtiger Einrichtungen: Diese sind zum einen Großunternehmen gemäß KMU-Definition der Europäischen Kommission aus näher definierten Sektoren (wie etwa Verkehr und Transport, Bankwesen oder Gesundheitswesen). Auch hier soll eine Rechtsverordnung Genaueres definieren, die mutmaßlich stark an Anhang I der NIS2-Richtlinie orientiert sein wird.
Größenunabhängig fallen noch Spezialunternehmen, wie etwa DNS-Diensteanbieter, in diese Kategorie sowie ein mittleres Unternehmen, das Anbieter von Telekommunikationsdiensten oder öffentlich zugänglichen Telekommunikationsnetzen ist. Auch Betreiber kritischer Anlagen werden dieser Kategorie zugeordnet.
- Betreiber wichtiger Einrichtungen: Darunter sollen zunächst mittlere Unternehmen gemäß KMU-Definition der Europäischen Kommission aus oben genannten Sektoren fallen.
Weiterhin fallen darunter mittlere Unternehmen und Großunternehmen weiterer Sektoren (wie etwa Logistik, Produktion oder verarbeitendes Gewerbe). Diese Liste wird voraussichtlich stark an Anhang II der NIS2-Richtlinie orientiert sein. Die bisherigen Unternehmen im besonderen öffentlichen Interesse der Kategorie 1 und 3 (sogenannte AWV- und Störfall-Verordnung-UBI) fallen ebenso in diese Kategorie. Interessant: UBI, die diesen Status auf Grund ihrer Wertschöpfungskraft erhalten sollten (Wertschöpfungs-UBI oder UBI 2 genannt), werden aus dem BSIG-E gestrichen.
Diese Aufzählungen sind dabei beispielhaft. Das BSIG-E enthält einerseits noch Ausnahmen und andererseits weitere recht spezielle Einrichtungen, die ebenso zuzuordnen sind.
Sanktionsregime
Der Bußgeldrahmen ist – wie auch heute – abgestuft (vgl. § 60 BSIG-E). Bei Zuwiderhandlung gegen vollziehbare Anordnungen kommen Bußgelder von bis zu 20 Millionen Euro in Betracht. Bei wichtigen Einrichtungen sind es sieben Millionen Euro oder bis zu 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens. Bei Betreibern besonders wichtiger Einrichtungen und kritischer Anlagen sind es bis zu zehn Millionen Euro oder bis zu 2 % des Vorjahresumsatzes.
Was ist sonst noch geplant?
Der europäische Gesetzgeber hat den Mitgliedsstaaten bis zum 17.10.2024 Zeit gegeben, die NIS-2-Richtlinie in nationales Recht zu gießen. Angesicht der derzeitigen Bedrohungslage im Cyberraum ist es schwer vorstellbar, dass der deutsche Gesetzgeber diese Frist tatsächlich ausreizt. Der vorliegende Entwurf geht davon aus, dass das vorliegende Änderungsgesetz im Frühjahr 2024 verabschiedet sein soll.
Daneben hat die Union den Mitgliedsstaaten mit der CER-Richtlinie aber noch weitere Hausaufgaben mitgegeben. Dieser Rechtsakt zielt auf die Erhöhung der physischen Sicherheit von kritischen Einrichtungen ab, wobei der genaue Anwendungsbereich noch zu definieren sein wird. Seit Ende letzten Jahres liegen dazu Eckpunkte für ein KRITIS-Dachgesetz vor. Ein erster Blick in das Konzeptpapier lässt vermuten, dass es auch in diesem Bereich zu einer Verdichtung der gesetzlichen Pflichten kommen wird.
Unter den angegebenen Links finden Sie weitere Informationen zu der Noerr Cyber Risks-Gruppe sowie den Praxisgruppen Data, Tech and Telecom, Digital Business und Liability & Insurance.