Seit dem 16. Januar 2023 ist die Network and Information Security 2 oder NIS2-Richtlinie (Richtlinie (EU) 2022/2555) in Kraft. Sie erweitert den Anwendungsbereich der gesetzlichen Cybersicherheitspflichten, die bisher vor allem für Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste galten, auf weite Teile der Wirtschaft und verschärft das Sanktionsregime bei Verstößen erheblich. Dies hat auch Folgen für die betriebliche Mitbestimmung.
Anders als andere Digitalrechtsakte der EU bedarf die NIS2-Richtlinie aber noch der Umsetzung durch die nationalen Gesetzgeber. Nun ist der erste Entwurf eines Umsetzungsgesetzes mit dem klangvollen Namen „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ bekannt geworden, das zum Teil sogar über das hinausgeht, was die NIS2-Richtlinie verlangt. Kernstück des Gesetzentwurfs ist eine Überarbeitung des BSI-Gesetzes („Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“; künftig erweitert um den Zusatz „und über die Sicherheit in der Informationstechnik von Betreibern und Einrichtungen“ – nachfolgend „BSIG V.2“). Obwohl die NIS2-Richtlinie eine Umsetzungsfrist bis zum 17. Oktober 2024 gewährt, will der deutsche Gesetzgeber schon im Frühjahr 2024 Vollzug melden. Wir geben hier einen ersten Überblick über die Regelungen, auf die sich Unternehmen in den nächsten Monaten vorbereiten müssen.
Erweiterter Anwendungsbereich
Cybersicherheitsanforderungen betreffen über den Umweg des Datenschutzes schon bislang viele Unternehmen. Doch die datenschutzrechtlichen Anforderungen sind zum einen recht vage und orientieren sich zum anderen nur am Schutz personenbezogener Daten. Weitergehende Cybersicherheitsanforderungen obliegen bislang nur bestimmten Unternehmen, insbesondere im Bereich kritischer Infrastrukturen und digitaler Dienste. NIS2 und BSIG V.2 erweitern die Liste der Sektoren, in denen verbindliche Cybersicherheitspflichten gelten sollen, erheblich:
- Energie,
- Verkehr,
- Bankwesen,
- Finanzmarktinfrastruktur,
- Gesundheitswesen,
- Trinkwasser,
- Abwasser,
- Digitale Infrastruktur,
- Verwaltung von Diensten der Informations- und Kommunikationstechnologie (Business-to-Business),
- Öffentliche Verwaltung,
- Weltraum,
- Post- und Kurierdienste,
- Abfallbewirtschaftung,
- Produktion, Herstellung und Handel mit chemischen Stoffen,
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln,
- Verarbeitendes Gewerbe/Herstellung von Waren,
- Anbieter digitaler Dienste,
- Forschung.
Ob ein Unternehmen, das diesen Sektoren unterfällt, spezifische Cybersicherheitspflichten erfüllen muss und wenn ja, welche, hängt von der Größe des Unternehmens sowie davon ab, welche Arten von Anlagen bzw. Einrichtungen es betreibt. Das BSIG V.2 differenziert zwischen kritischen Anlagen, wesentlichen/besonders wichtigen Einrichtungen und (bloß) wichtigen Einrichtungen. Oberhalb der Schwelle der Kleinst- oder Kleinunternehmen mit weniger als 50 Mitarbeitern bzw. einem Jahresumsatz, der nicht über EUR 10 Mio. hinausgeht, ist eine Anwendbarkeit der neuen Cybersicherheitspflichten für Unternehmen der o. g. Sektoren relativ wahrscheinlich. Wie insbesondere an der Kategorie „Verarbeitendes Gewerbe/Herstellung von Waren“ ersichtlich wird, ist eine „Technologienähe“ des Unternehmens nicht erforderlich, um Cybersicherheitspflichten zu unterliegen.
Für Unternehmen gilt es daher zunächst, genau zu prüfen, ob und in welcher Rolle sie in den persönlichen Anwendungsbereich der neuen Cybersicherheitsgesetzgebung fallen. Denn danach richten sich die Pflichten, die sie zu erfüllen haben und die Sanktionen, die sie befürchten müssen.
Konkretisierter und erweiterter Pflichtenkatalog
Das neue BSIG V.2 sieht einen umfassenden Katalog von Cybersicherheitspflichten vor, der sowohl umfassender ist, als es das bisherige Cybersicherheitsrecht kennt, als auch tiefer ins Detail geht.
Diese Pflichten teilen sich im Wesentlichen in präventive Pflichten zur Verhinderung bzw. Begrenzung der Folgen von Sicherheitsvorfällen und in reaktive Pflichten zur Meldung dieser Vorfälle.
Die präventiven Pflichten umfassen – zusammengefasst – folgende Cybersicherheitsmaßnahmen (detailliert in Art. 21 Abs. 2 NIS2 und § 30 Abs. 4 BSIG V.2):
- Risikoanalyse- und Informationssicherheitskonzepte, einschließlich Berechtigungskonzepte und Verfahren zur Bewertung der Wirksamkeit des Risikomanagements;
- Sicherheitsvorfall-Management;
- Betriebskontinuitätsmanagement einschließlich Backups und Notfallpläne;
- Sicherheitsmanagement des eigenen Personals (einschließlich Cybersicherheitsvorgaben und -trainings) sowie der Lieferkette, d.h. auch bei Lieferanten/Dienstleistern;
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen;
- Kryptografie und gegebenenfalls Verschlüsselung;
- Authentifizierungsverfahren und gesicherte Kommunikationskanäle.
Dieser Katalog wird teilweise noch durch Durchführungsrechtsakte der Europäischen Kommission für bestimmte Kategorien von Anbietern spezifiziert.
Einen interessanten Sonderfall der Pflicht zur Durchführung von Cybersicherheitstrainings regelt § 38 Abs. 4 BSIG V.2, wonach die Geschäftsleitungen von wesentlichen/besonders wichtigen und (bloß) wichtigen Einrichtungen regelmäßig an Schulungen teilnehmen müssen.
Daneben bleibt für die Betreiber kritischer Anlagen die Pflicht aus § 8a Abs. 1a BSIG erhalten, Systeme zur Angriffserkennung einzusetzen (§ 39 BSIG V.2). Hierzu hat das Bundesamt für Sicherheit in der Informationstechnik („BSI“) erst kürzlich eine Orientierungshilfe herausgegeben.
Die reaktive Meldepflicht sieht bei erheblichen Sicherheitsvorfällen eine gestufte Meldung an das BSI vor, die hinsichtlich der Fristen strenger und zudem organisatorisch komplexer ist als die datenschutzrechtliche Pflicht zur Meldung von sog. Datenpannen (§ 31 BSIG V.2):
- Unverzüglich, aber spätestens innerhalb von 24 Stunden nach Kenntnis ist eine Erstmeldung abzugeben, die mitteilt, ob der Verdacht besteht, dass der Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte.
- Ebenfalls unverzüglich und spätestens innerhalb von 72 Stunden, d. h. in derselben Frist wie die Meldung einer Datenpanne bei der Datenschutzaufsichtsbehörde, ist die Erstmeldung zu aktualisieren. In dieser Aktualisierung sind erstmals der Schweregrad und die Auswirkungen des Sicherheitsvorfalls zu bewerten, ggf. unter Angabe von Kompromittierungsindikatoren.
- Fragt das BSI nach, müssen Zwischenmeldungen abgegeben werden, die die Meldung weiter aktualisieren.
- Innerhalb eines Monats nach der Aktualisierung der Erstmeldung ist ein Abschlussbericht einzureichen. Dieser Abschlussbericht muss eine ausführliche Beschreibung und Analyse des Sicherheitsvorfalls enthalten. Dauert der Sicherheitsvorfall zu diesem Zeitpunkt noch an, ist stattdessen ggf. eine Fortschrittsmeldung und dann ein Monat nach Abschluss der Bearbeitung des Sicherheitsvorfalls die Abschlussmeldung abzugeben.
Das BSI soll Unternehmen unter bestimmten Bedingungen auch dazu anweisen können, die Empfänger ihrer Dienste (d. h. in der Regel die Kunden) über den Sicherheitsvorfall zu informieren (§ 35 BSIG V.2). Auch eine verpflichtende öffentliche Information über den Sicherheitsvorfall ist möglich (§ 36 BSIG V.2). Außerdem soll das BSI Unternehmen dazu verpflichten können, die Empfänger ihrer Dienste über (bloß) potenzielle Cyberbedrohungen und dagegen ergriffene Maßnahmen zu informieren, und ggf. sogar Informationen über Rechtsverstöße öffentlich zu machen (§ 64 Abs. 4, 65 Abs. 3 BSIG V.2). Ähnlich wie die datenschutzrechtliche Pflicht zur Information der betroffenen Personen können solche weitreichenden Melde- und Informationspflichten für ein Unternehmen u. U. noch geschäftsschädigender sein als der Datensicherheitsvorfall selbst.
Zu diesen operativen Pflichten hinzu tritt für die meisten Unternehmen, die dem BSIG V.2 unterfallen, eine Pflicht zur Registrierung beim BSI. Betreiber kritischer Anlagen und wesentliche/besonders wichtige Einrichtungen müssen dem BSI zudem nachweisen, dass ihre Cybersicherheitsmaßnahmen die gesetzlichen Anforderungen erfüllen (§§ 32 ff., 39 Abs. 2 BSIG V.2). Das BSIG V.2 statuiert hier also eine Art Rechenschaftspflicht, die einigen Unternehmen ebenfalls schon aus der datenschutzrechtlichen Compliance bekannt sein dürfte.
Sanktionen und verschärfte Haftung
Wie fast alle Rechtsakte der europäischen Digitalstrategie sehen die NIS2-Richtlinie und das BSIG V.2 bei Verstößen erhebliche Bußgelder vor. Gegen Betreiber kritischer Anlagen oder wesentlicher/besonders wichtiger Einrichtungen können Bußgelder bis zu EUR 10 Millionen oder 2 % des weltweiten Vorjahresumsatzes verhängt werden, bei Betreibern (bloß) wichtiger Einrichtungen liegt die Obergrenze immerhin noch bei EUR 7 Millionen bzw. 1,4 % des Umsatzes.
Bemerkenswert ist, dass in der aktuellen Fassung des Entwurfs des BSIG V.2 die Formulierung der Höchstgrenze aus der Richtlinie so wortlautgetreu übernommen wurde, dass die o. g. Höchstgrenzen nicht abschließend sind. Die Richtlinie will den Mitgliedstaaten noch höhere Grenzwerte erlauben und spricht deswegen von „Höchstbeträgen von mindestens X“ (Art. 34 Abs. 4, 5 NIS2). Die Übernahme dieser Formulierung ins nationale Gesetz nimmt der Höchstgrenze allerdings ihren Charakter als Höchstgrenze (vgl. § 60 Abs. 7 BSIG V.2: „Geldbuße […] mit einem Höchstbetrag von mindestens 2 %“). Es ist zu hoffen, dass der Gesetzgeber dieses mutmaßliche Redaktionsversehen noch korrigiert.
Weitere Besonderheiten bietet das BSIG V.2 bei der Regelung der Haftung von Leitungsorganen. Danach sollen die Geschäftsleiter die vom Unternehmen zu ergreifenden Cybersicherheitsmaßnahmen billigen und ihre Umsetzung überwachen, ohne damit Dritte beauftragen zu dürfen (§ 38 Abs. 1 BSIG V.2). Damit wird Cybersicherheit gesetzlich zur „Chefsache“, wie es in vielen Unternehmen zurecht auch jetzt schon intern vorgesehen ist.
Explizit wird geregelt, dass Geschäftsleiter für Verletzungen ihrer entsprechenden Pflichten der Gesellschaft gegenüber haften (§ 38 Abs. 2 BSIG V.2). Das entspricht im Wesentlichen bereits geltendem Recht, die Klarstellung soll hier aber für Rechtssicherheit sorgen. Neu ist allerdings, dass laut Gesetzesbegründung auch Bußgeldforderungen vom Schadensbegriff umfasst sein sollen. Diese Frage ist im Rahmen kartellrechtlicher Bußgelder stark umstritten, die eindeutige gesetzgeberische Wertung könnte den Befürwortern einer Regresshaftung der Geschäftsführung für Bußgelder nun jedenfalls im Bereich Cybersicherheit den Weg ebnen.
Erhebliche praktische Schwierigkeiten bereiten wird die Regelung, dass ein Verzicht auf oder ein Vergleich über Schadensersatzansprüche gegen die Geschäftsleitung unwirksam sind, sofern keine (drohende) Zahlungsunfähigkeit oder Regelung per Insolvenzplan vorliegt (§ 38 Abs. 3 BSIG V.2). Damit wird Unternehmen ein probates Mittel genommen, um das Unternehmensinteresse bei unklaren Prozessaussichten zu wahren. Der Sinn der Regelung ist auch deswegen fraglich, weil ein Vergleich über entsprechende Schadensersatzansprüche bereits jetzt dem Vorbehalt der Genehmigung durch die Hauptversammlung unterliegt. Es ist daher zu hoffen, dass der Gesetzgeber dieses unflexible und unzweckmäßige Verbot im Rahmen des Gesetzgebungsverfahrens noch überdenkt.
Neben Bußgeldern und Schadensersatzansprüchen sieht das BSIG V.2 auch eine Erweiterung des Katalogs sonstiger Aufsichtsmaßnahmen vor. Dazu gehören z. B. Betretungs- und Kontrollrechte, auf die sich nicht nur Betreiber kritischer Infrastrukturen einstellen müssen, Anweisungen zur Verhinderung von Sicherheitsvorfällen oder zur Herstellung des erforderlichen Sicherheitsniveaus sowie Anweisungen zur Information über Cyberbedrohungen und dagegen ergriffene Maßnahmen (§ 64 Abs. 1-3 BSIG V.2). Unter bestimmten Bedingungen soll das BSI sogar Personen der Geschäftsleitung bzw. gesetzlichen Vertretern die Wahrnehmung von Leitungsaufgaben untersagen können (§ 64 Abs. 6 Nr. 2 BSIG V.2).
Wie geht es weiter?
Der Entwurf des BSIG V.2 ist bislang nur ein Referentenentwurf, hat also noch eine Reihe von Abstimmungen zwischen den Ministerien und Fraktionen vor sich. Dennoch geht der Entwurf davon aus, dass das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz im März 2024 verkündet werden und dann – nach Ablauf einer sechsmonatigen Umsetzungsfrist – am 1. Oktober 2024 in Kraft treten kann. Damit würde Deutschland seine Umsetzungspflicht gut zwei Wochen früher erfüllen als rechtlich geboten.
Denkbar ist auch, dass eine weitere Abstimmung des Entwurfs mit den Bemühungen zur Verabschiedung eines KRITIS-Dachgesetzes, für das im Dezember 2022 Eckpunkte vorgelegt wurden, und zur Umsetzung der sog. Critical Entities Resilience (CER)-Richtlinie noch zu Verzögerungen führt. Nachdem es allerdings allein im Frühling 2023 zu mehreren empfindlichen und öffentlichkeitswirksamen Cyberangriffen auf deutsche Unternehmen kam, ist eine zügige Umsetzung der NIS2-Richtlinie wahrscheinlich.
Angesichts der Schwierigkeiten, die sich bei der Umsetzung von Cybersicherheitsmaßnahmen im Unternehmen oder gar im Konzern ergeben können – von der Bereitstellung von Budgets über datenschutzrechtliche Prüfungen bis hin zur Auswahl und Beauftragung von Dienstleistern – ist das gute Jahr, das Unternehmen zur Vorbereitung auf das neue Cybersicherheitsregime verbleibt, keine übermäßig lange Zeit. Immerhin eine für Unternehmen üblicherweise hohe Hürde bei der Einführung neuer Prozesse könnte hier aber weniger Schwierigkeiten bereiten als sonst. Denn die beschriebenen Erweiterungen gesetzlicher Pflichten schränken nicht nur gestaltende unternehmerische Entscheidungen ein, sondern damit zugleich auch den Raum für betriebliche Mitbestimmung. Jede Einführung und Erweiterung von IT-Sicherheits-Systemen, die gesetzlich geboten ist, ist nicht verhandelbar. Dies folgt aus dem Gesetzesvorbehalt für Mitbestimmungsrechte des Betriebsrats (§ 87 Abs.1 Eingangshalbsatz BetrVG).
Weitere Informationen zum Thema erhalten Sie im Aufsatz unseres Experten Simon Clemens Wegmann: "Too much of a good thing? Erweiterung und Verschärfung von Cybersicherheitspflichten durch die NIS2-Richtlinie".