Die Cybersicherheit sollte mit der Umsetzung der NIS2-Richtlinie in nationales Recht deutlich verbessert werden. Deutschland hat es versäumt, die Richtlinie fristgerecht zum 17.10.2024 umzusetzen. Es liegt der Regierungsentwurf des „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)“ vom 02.10.2024 vor – das Gesetz soll nun voraussichtlich im Frühjahr 2025 in Kraft treten.
Unternehmen, die die gerade aktuell wieder stark bedrohte Lage der Cyber-Sicherheit noch nicht ernst nehmen, möchte der (EU)-Gesetzgeber mittels Geschäftsleiterverantwortung und hohen Bußgeldern dazu bringen, sensible Unternehmensdaten zu schützen. Mit dem deutschen Umsetzungsgesetz werden rund 20 Sicherheitsgesetze reformiert, darunter insbesondere das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG).
Ob ein Unternehmen von der NIS2-Richtlinie erfasst ist, richtet sich nach der Mitarbeiterzahl und dem Sektor (wir berichteten in unserem Newsletter
Der Referentenentwurf zur Umsetzung der EU-NIS2-Richtlinie: Erweiterte Cybersicherheitspflichten und Handlungsbedarf auch für mittelständische Unternehmen - BRP RENAUD). Von besonderer Bedeutung wird für viele Unternehmen die Aufnahme der Branche „Maschinenbau“ und der Verweis auf Wirtschaftstätigkeiten nach Abschnitt C Abteilung 28 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev.2) sein; damit wird der Anwendungsbereich der Vorschriften erheblich ausgedehnt.
Da betroffene Unternehmen die Anforderungen in der Lieferkette an ihre Geschäftspartner weitergeben werden, haben die neuen Vorschriften auch erhebliche Bedeutung für Unternehmen, die eigentlich nicht in den Anwendungsbereich fallen. Zudem sind auch kleine und Kleinstunternehmen direkt betroffen, wenn sie sog. Vertrauensdiensteanbieter sind, d.h. digitale Zertifikate oder Authentifizierungsdienste anbieten.
Was ist zu tun?Sie sollten unbedingt prüfen, ob Ihr Unternehmen direkt betroffen ist oder durch entsprechende Kundenforderungen indirekt betroffen sein wird. Um Sicherheit in der Lieferkette zu erreichen, empfehlen wir, Rahmenverträge mit Auftragnehmern, Zulieferern und Dienstleistern zu prüfen und um eine IT-Sicherheitsvereinbarung zu ergänzen. Die IT-Sicherheitsvereinbarung sollte sich künftig als Teil der Vertragsumgebung etablieren. Sowohl besonders wichtige als auch wichtige Einrichtungen sowie weitere Unternehmen in der Lieferkette müssen bzw. sollen die Anforderungen aus dem (Mindest-)Katalog des § 30 BSIG-E umsetzen. Das Cybersicherheitsniveau des gesamten Unternehmens muss überdacht und ggf. erhöht werden, dazu gehören eine Risikoanalyse für Informationssysteme sowie für technische und organisatorische Maßnahmen (TOM). Zur Bewältigung von Sicherheitsvorfällen und zur Aufrechterhaltung des Betriebs sind Risikomanagementmaßnahmen zu etablieren. Cyberhygiene, ein professionelles Patchmanagement, die Einschränkung von Zugriffskonten auf Administratorenebene sowie Backup- und Sicherungskonzepte und der Einsatz von Kryptografie sind beispielhaft zu nennen. Resultierend daraus sollten neben den genannten Rahmenverträgen alle Auftragsverarbeitungsverträge (AVV) und Joint-Controller-Agreements (JCA) geprüft und auf die Vorgaben angepasst werden. Die Prüfungen und Änderungen der TOM und Verträge sollten dokumentiert werden. Die Geschäftsleitung sollte die betroffenen Abteilungen umfassend einbeziehen. Geschäftsführung, Datenschutzbeauftragte und die IT-Abteilung sollten Hand in Hand arbeiten. Um das Bewusstsein aller Mitarbeiter für Cyberrisiken zu schärfen, sind Informations- und Schulungsmaßnahmen erforderlich. Unbedingt ist ferner ein Konzept für den Sicherheitsvorfall auszuarbeiten um den Meldepflichten pflichtgemäß nachkommen zu können. Handeln ist jetzt notwendig, denn auch wenn das Gesetz erst im kommenden Jahr in Kraft treten wird: die Erarbeitung von Konzepten, die Einplanung von Wartungsfenstern für industrielle Anlagen und Softwareupdates sowie Schulungen und Vertragsanpassungen benötigen Zeit.
Schnelles Handeln ist auch in Anbetracht der vorgesehenen Bußgeldhöhen im Fall von Verstößen gegen die beschriebenen Pflichten dringend angezeigt. So sieht insbesondere die geplante Neufassung des BSIG Bußgeldrahmen vor, die sich an der EU-Datenschutzgrundverordnung (DSGVO) orientieren und in § 65 Abs. 5 BSIG-E in fünf Stufen unterteilt sind. Auf erster Stufe sind für die Nichteinhaltung der Mindestanforderungen aus § 30 BSIG-E und für Verstöße gegen Meldepflichten Bußgelder von bis zu zehn Millionen Euro für besonders wichtige Einrichtungen und von bis zu sieben Millionen Euro für sonstige wichtige Einrichtungen vorgesehen. Hat das Unternehmen, dem die Einrichtung angehört, einen Jahresumsatz von mehr als 500 Millionen Euro, gilt eine Höchstgrenze von bis zu 2 % des Jahresumsatzes bei besonders wichtigen und von bis zu 1,4 % bei sonstigen wichtigen Einrichtungen. Maßgeblich ist der weltweite Jahresumsatz des Unternehmens aus dem Geschäftsjahr vor dem Verstoß. Verstöße gegen bestimmte vollziehbare Anordnungen sollen auf zweiter Stufe mit bis zu zwei Millionen Euro geahndet werden, Verstöße gegen Nachweis- und Auskunftspflichten von Betreibern kritischer Anlagen auf dritter Stufe mit bis zu einer Million Euro, wobei sich die maximale Bußgeldhöhe aufgrund des Verweises auf § 30 Abs. 2 S. 3 OWiG verzehnfachen kann. Auf vierter und fünfter Stufe sind schließlich Bußgelder in Höhe von bis zu 500.000 Euro u.a. für Verstöße gegen Registrierungspflichten bzw. bis zu 100.000 Euro u.a. bei unrichtiger Auskunftserteilung vorgesehen.
Auch wenn die Umsetzung in Deutschland zeitlich zu wünschen übriglässt, müssen Sie handeln.