Pflichtenverschärfung durch die NIS-2-Richtlinie: Brauchen Unternehmen künftig einen Cyber-Vorstand?

Zusammenfassung

Die NIS-2-Richtlinie, die bis Oktober 2024 in deutsches Recht umgesetzt werden muss, verschärft die Cybersicherheitspflichten für Unternehmen, auch für diejenigen, deren Geschäftsmodelle weder digital noch datenintensiv sind. IT-Sicherheit wird damit zum Compliance-Thema.

Mit Blick auf die durch die NIS-2-Richtlinie neu eingeführte nicht delegierbare Verantwortung des Vorstands bzw. der Geschäftsführung für die Gewährleistung der IT-Sicherheit im Unternehmen wird aktuell diskutiert, ob ein eigenes Ressort für IT-Sicherheit erforderlich ist. Benötigen Unter-nehmen künftig einen Cyber-Vorstand?

Eine Reihe neuer EU-Rechtsakte, die Bestandteil der Digitalstrategie der Europäischen Kommission sind, sowie deren deutsche Umsetzungsgesetze bilden einen neuen Rechtsrahmen zur Stärkung der Cybersicherheit in der EU. Dazu gehört die NIS-2-Richtlinie (NIS = Network Information Security), die am 10.11.2022 vom Europäischen Parlament verabschiedet worden ist und bis zum 17.10.2024 in nationales Recht umgesetzt werden muss. Sie verpflichtet Unternehmen dazu, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu treffen, um die IT-Sicherheit im Unternehmen zu gewährleisten. In Deutschland soll die Umsetzung der NIS-2-Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz erfolgen, das aktuell in einem Referentenentwurf (Stand: Mai 2023) vorliegt.

Damit wird ein Kernelement der Cyber-Sicherheitsstrategie der EU von 2013, die NIS-Richtlinie (Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union) vom August 2016 aktualisiert. Die Cybersicherheitspflichten werden verschärft. Die bisherige NIS-Richtlinie und ihre Umsetzung hatten, eine solche Evaluation der Europäischen Kommission, nicht zu einem hinreichenden Niveau an Cybersicherheit in der EU geführt. Die Umsetzung in den EU-Mitgliedstaaten divergierte teilweise erheblich.

Anwendungsbereich: Für welche Unternehmen gelten die neuen Cybersicherheitspflichten?

Die NIS-2-Richtlinie differenziert zwischen sog. wesentlichen und wichtigen Einrichtungen (in der Terminologie der NIS-Richtlinie früher: Betreiber wesentlicher und Anbieter digitaler Dienste). Die Anhänge I und II zur Richtlinie definieren, wann ein Unternehmen in den Anwendungsbereich fällt. Dabei sind folgende Kriterien maßgeblich: (1.) die Einstufung als KRITIS-Betreiber, (2.) die Zugehörigkeit zu einem Sektor und (3.) die Größe des Unternehmens.

KRITIS-Betreiber sind jedoch nicht nur Unternehmen der kritischen Infrastruktur, sondern gerade auch produzierende Industrieunternehmen, mit mehr als 50 Mitarbeitern und einem Jahresumsatz von mehr als 10 Mio. EUR. Der Anwendungsbereich wurde damit gegenüber der bisherigen NIS-Richtlinie von 2015 deutlich erweitert.

Von besonderer Bedeutung ist die NIS-2-Richtlinie für den Sektor Verarbeitendes Gewerbe/Herstellung von Waren (Manufacturing), der erstmals von den neuen Cybersicherheitspflichten erfasst wird. Viele Unternehmen, deren Geschäftsmodelle weder digital sind noch einen besonderen Bezug zu Daten haben, werden sich erstmals vertiefter mit Cybersicherheits-Compliance auseinandersetzen müssen.

Status Quo: Cybersicherheitspflichten nach BSIG, DSGVO und TTDSG

Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) normiert bereits jetzt Cybersicherheitspflichten. Allerdings gelten diese nur für einen eingeschränkten Kreis von Unternehmen, der sich durch die Umsetzung der NIS-2-Richtlinie deutlich erweitern wird. Aktuell differenziert das BSIG für seinen Anwendungsbereich zwischen 3 Kategorien von Unternehmen: (1.) Betreiber kritischer Infrastrukturen (§ 8a BSIG), (2.) Anbieter digitaler Dienste (§ 8c BSIG) und (3.) Unternehmen im besonderen öffentlichen Interesse (sog. "UBI", § 8f BSIG).

• Betreiber kritischer Infrastrukturen unterliegen dabei den strengsten Cybersicherheitspflichten. Sie müssen unter Einhaltung des Stands der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind (§ 8a BSIG). Seit dem 1.5.2023 müssen als Bestandteil dieser Maßnahmen auch Systeme zur Angriffserkennung eingesetzt werden. Außerdem müssen die Unternehmen sicherstellen, dass die erforderlichen technischen, organisatorischen und personellen Rahmenbedingungen zum effektiven Einsatz solcher Systeme gewährleistet und die Systeme so konfiguriert sind, dass sie das Anforderungsprofil erfüllen. Die Einhaltung dieser Pflichten muss alle 2 Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachgewiesen werden (§ 8a Abs. 3 BSIG).
• Anbieter digitaler Dienste müssen geeignete und verhältnismäßige technische und organisatorische Maßnahmen treffen, um ...