News

Vier Dinge, die Rechts­abteilungen im Hin­blick auf NIS2 jetzt tun sollten

08.01.2024

Die NIS2-Richtlinie wird teilweise so heiß diskutiert wie zuletzt die DSGVO im Jahr 2018. Die Unklarheiten sind groß und der Gesetzgebungsprozess für das Umsetzungsgesetz in Deutschland – NIS2UmsuCG genannt – noch in einem frühen Stadium.

Die Zeit drängt jedoch, denn die Vorgaben der NIS2-Richtlinie müssen bis zum 17.10.2024 in nationales Recht umgesetzt sein. Danach sind echte weitere „Schonfristen“ für die Unternehmen nicht zu erwarten. Zugleich nimmt die NIS2-Richtlinie die Verantwortung der Geschäftsleitung in den Fokus, weshalb das Thema im Bewusstsein des Managements sein sollte.

Viele offene Fragen

Unternehmen, die sich bereits jetzt mit der NIS2-Richtlinie befassen, stellen sich eine Reihe von Fragen. Auf Platz 1 ist sicherlich, ob das jeweilige Unternehmen überhaupt in den Anwendungsbereich fällt. Eine ausführliche Befassung mit den Anlagen der NIS2-Richtlinie führt nicht selten zu Überraschungen. Kann es etwa sein, dass man als Vermieter oder Vermieterin zum „Anbieter verwalteter Dienste“ (B2B) wird, weil man den Mietern und Mieterinnen WLAN Access-Points bereitstellt? Wie genau sind eigentlich „Anbieter von Cloud-Computing-Diensten“ zu fassen und fallen darunter auch Apps? Wie unterscheiden sich die „Anbieter von Cloud-Computing-Diensten“ von den ebenfalls betroffenen „Anbietern von Online-Marktplätzen" und „Anbietern von Plattformen für Dienste sozialer Netzwerke“?

Eng damit verbunden sind auch die Fragen, ob die Anwendbarkeit der NIS2-Richtlinie auf eine Konzerngesellschaft den gesamten Konzern „infiziert“ und welche Schwellenwerte bei Konzernsachverhalten zu beachten sind.

Nach unserer Erfahrung ist auf Platz 2 die Frage, wie umfassend die Risikomanagementmaßnahmen auszurollen sind, die Art. 21 NIS2-Richtlinie (vgl. § 30 BSIG-E) fordern. Auch wenn das Gesetzgebungsverfahren in Deutschland insoweit bislang unergiebig ist, entscheiden sich Unternehmen für einen „schlanken“ Anwendungsbereich und fokussieren sich auf die Prozesse und Systeme, die erforderlich sind für den Betrieb der einschlägigen Einrichtungen. Aus technischer Sicht befassen sich die Unternehmen damit, was genau der Richtlinien- und Gesetzgeber eigentlich mit den Risikomanagementmaßnahmen meinte – und wie Standards wie etwa ISO 27001 damit im Einklang stehen.

Vier Dinge für 2024

Juristen und Juristinnen in Rechtsabteilungen müssen (und sollten) aber nicht bis Oktober 2024 warten. Vielmehr gibt es Aufgaben, die bereits heute vorbereitet werden können.

  • Abstimmung mit Stakeholdern: Informations-, IT- und Cybersicherheit sind sicherlich keine Themen, die Rechtsabteilungen selbst erledigen können. Vielmehr ist eine interdisziplinäre Zusammenarbeit gefragt. Selbstverständlich sollte auch das Management und der oder die CISO (Chief Information Security Officer) eingebunden werden. Schließlich muss das Management insbesondere die Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen, da es sonst haftbar gemacht werden kann (vgl. Art. 20 Abs. 1 NIS2-Richtlinie) Gemeinsam sollte eine Roadmap abgestimmt werden, wie das Unternehmen mit der NIS2-Richtlinie umgehen will.
  • Anwendungsbereich prüfen: Eine offensichtliche Aufgabe für die Rechtsabteilungen ist die Prüfung, ob ihr Unternehmen unter die NIS2-Richtlinie fallen wird. Die nächsten zwei Punkte können aber ganz unabhängig davon in Angriff genommen werden.
  • Vertragsrevision in der Lieferkette: Es ist ratsam, (wichtige) Verträge „auf Vordermann“ zu bringen (vgl. auch Art. 21 Abs. 2 lit. d) und e) NIS2-Richtlinie). Einfache Informationssicherheitsklauseln, die etwa Vertragspartner auf die Einhaltung eines bestimmten Standards (etwa: Stand der Technik) verpflichten, sowie Klauseln zum Nachweis von Zertifikaten/Testaten können allenfalls in Einzelfällen ausreichen. Jedenfalls, wenn die Vertragspartner aber umfangreich mit Informationen des eigenen Unternehmens umgehen sollen, empfehlen sich detaillierte Verträge oder Anlagen betreffend die Informationssicherheit. Dies sollte zumindest konkrete von Vertragspartnern zu ergreifende Sicherheitsmaßnahmen einschließlich Anpassungspflichten, Audit-Rechte und Informationspflichten umfassen. Gerade alte Verträge sollten auf Aktualität geprüft und ggf. nachverhandelt werden. Bei dieser Gelegenheit empfehlen wir auch, dass Unternehmen systematisch erfassen, welche Geschäftspartner im Falle der Verletzung von Schutzzielen der Informationssicherheit zu informieren sind.
  • Notfallpläne vorbereiten: Zuletzt beobachten wir bei unserer Beratung im Notfall (etwa bei Cyberangriffen), dass ein Großteil der Unternehmen nicht über (aktuelle) Notfallpläne verfügt (vgl. auch Art. 21 Abs. 2 lit. b) NIS-Richtlinie). Hektisch werden Personen zusammengerufen, Dienstleister gesucht, Meldepflichten erstmalig – im schlimmsten Fall: weltweit – geprüft und überlegt, was sonst noch so getan werden kann und muss. Als wichtiger Bestandteil der Unternehmens-Governance raten wir dringend zu einem Notfallplan, etwa in Form einer Richtlinie. Technisch kann das etwa durch Playbooks flankiert werden. Doch auch der beste Plan nützt nichts, wenn er nicht auch getestet und fortwährend verbessert wird.

Dies ist selbstverständlich nur ein Ausschnitt der Aufgaben, die mit Blick auf die Informations- und Cybersicherheit derzeit virulent sind. Rechtsabteilungen tun gut daran, den Gesetzgebungsprozess rund um die Umsetzung der NIS2-Richtlinie zu beobachten. Spannend bleibt dies nicht zuletzt deshalb, weil aus Brüssel und Berlin derzeit eine Vielzahl von Rechtsakten zur IT-Sicherheit kommt. Als Stichworte seien genannt: DORA für den Finanzsektor, CER-Richtlinie (und dies umsetzend das KRITIS-Dachgesetz), Cyber Resilience Act (CRA), diverse Rechtsakte rund um Künstliche Intelligenz sowie Produkthaftungsrichtlinie und Produktsicherheitsverordnung.

Wir werden hier fortlaufend über die weiteren Gesetzgebungsprozesse und unsere Praxiserfahrung berichten. Unter den angegebenen Links finden Sie weitere Informationen zu der Noerr Cyber Risks-Gruppe sowie den Praxisgruppen Data, Tech and Telecom und Digital Business.