Der Referentenentwurf zur Umsetzung der EU-NIS2-Richtlinie: Erweiterte Cybersicherheitspflichten und Handlungsbedarf auch für mittelständische Unternehmen

Mit der steigenden Relevanz von KI und maschinellem Lernen steigt auch das Bedürfnis, vulnerable Wirtschaftsbereiche und Unternehmen vor neuen Gefahren für die IT-Sicherheit zu schützen. Mit der NIS2-Richtlinie will der europäische Gesetzgeber das Gesamtniveau der Cybersicherheit erhöhen. Die Richtlinie muss bis zum 17.10.2024 in nationales Recht umgesetzt sein. Hierzu liegt in Deutschland bislang der Entwurf des NIS2UmsuC-Gesetzes vor (Stand: 03.07.2023), der durch das Diskussionspapier vom 27.09.2023 und den sog. Werkstattbericht vom 26.10.2023 weiter an Kontur gewonnen hat. Auf viele Unternehmen und ihre Geschäftsleiter werden erhebliche neue, sanktionsbewehrte Pflichten zukommen:

1. Weiter Anwendungsbereich des NIS2UmsuCG

Mit der Richtlinienumsetzung wird der Anwendungsbereich auf Unternehmen im Vergleich zu bestehenden Regelungen deutlich ausgeweitet. Von den Neuregelungen werden bereits Unternehmen ab einer Mitarbeiterzahl von 50 Personen bzw. einem Umsatz und einer Jahresbilanz von mindestens 10 Mio. Euro erfasst, wenn sie den gesetzlich bestimmten Einrichtungsarten und Sektoren zuzuordnen sind. Dabei ist hervorzuheben, dass neben Sektoren wie „IT und Telekommunikation“, „Lebensmittel“ und „Chemie“ auch der Sektor „Verarbeitendes Gewerbe/Herstellung von Waren“ aufgenommen wurde. Erfasst werden damit etwa die Bereiche des Maschinen- und Fahrzeugbaus. Damit steht außer Frage, dass sich spätestens ab Oktober 2024 viele mittelständische Unternehmen umfassend mit dem Thema Cybersicherheitscompliance auseinandersetzen müssen.

2. Wesentliche Pflichten und Folgen für die Geschäftsleitung

Das Umsetzungsgesetz sieht eine Reihe von Cybersicherheitspflichten vor. Von zentraler Bedeutung ist dabei das Erstellen von Risikomanagementmaßnahmen. Betroffene Unternehmen sollen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um Sicherheitsvorfälle möglichst gering zu halten. Hinter dieser weit gehaltenen Formulierung verbirgt sich insbesondere das Anfertigen von Risikoanalyse- und Informationssicherheitskonzepten, ein Sicherheitsvorfall-Management und die Aufrechterhaltung des Betriebs z. B. durch die Erstellung von Backups und Notfallplänen. Hinzu kommen unter anderem auch eine bußgeldbewehrte Registrierungspflicht und im Falle eines Sicherheitsvorfalls eine unverzügliche Melde- und Unterrichtungspflicht.

Mit dem neuen Pflichtenkatalog in Cybersicherheitsangelegenheiten geht somit auch ein erweiterter Pflichtenumfang für die Geschäftsleitung einher. Für die Billigung und die Überwachung der umgesetzten Maßnahmen ist sie verantwortlich. Um dieser Verantwortung gerecht zu werden, sieht der Gesetzgeber zudem eine Schulungspflicht der Geschäftsleiter vor. Immerhin: Die Geschäftsleitung soll die Aufgabenerfüllung auch an Hilfspersonen übertragen dürfen. Damit sieht der Gesetzgeber von der anfangs noch im Referentenentwurf vorgesehenen persönlichen Erfüllung dieser Pflicht ab. An der Letztverantwortlichkeit des Leitungsorgans ändert das indes nichts. Darüber hinaus wurde auch die zunächst vorgesehene persönliche Haftung der Geschäftsleitung gestrichen. Kommt es somit zu einem Sicherheitsvorfall, haftet der Geschäftsführer zwar nicht mehr persönlich. Davon unberührt bleibt aber die (persönliche) Haftung der Geschäftsleitung gegenüber dem Unternehmen.

3. Drohende Bußgelder

Die Verletzung der beschriebenen Pflichten soll in Anlehnung an das Lieferkettensorgfaltspflichtgesetz, die Datenschutz-Grundverordnung und das Kartellrecht empfindliche Bußgelder nach sich ziehen. Dabei genügt bereits fahrlässiges Handeln. Schon die unvollständige Registrierung kann danach mit einem Bußgeld von bis zu 500.000 Euro und die Zuwiderhandlung gegen eine vollziehbare Anordnung mit bis zu 20 Mio. Euro sanktioniert werden. Die Sanktionierung bei der Nichteinhaltung von Risikomanagementmaßnahmen und Meldepflichten fällt noch höher aus: Hier droht den betroffenen mittelgroßen Unternehmen ein Bußgeld bis zu 7 Mio. Euro oder ein Bußgeld mit einem Höchstbetrag von mindestens 1,4 % des gesamten weltweit im vorangegangenen Geschäftsjahr getätigten Umsatzes (!) des Unternehmens, dem das betroffene Unternehmen angehört.

Handlungsempfehlung

Mit dem derzeitigen Referentenentwurf und dem Diskussionspapier sind die Grundpfeiler gesetzt. Wesentliche Änderungen sind aufgrund der Vorgaben der NIS2-Richtlinie nicht mehr zu erwarten. Vielmehr werden die neuen Cybersicherheitspflichten voraussichtlich mit Ablauf der Umsetzungsfrist zum 17.10.2024 in Kraft treten. Aufgrund des weiten Anwendungsbereichs werden nicht nur größere, sondern auch mittelständische Unternehmen um die Implementierung eines Risikomanagementsystems sowie die Einhaltung zahlreicher weiterer Cybersicherheitspflichten nicht herumkommen. Nicht nur wegen der empfindlichen Geldbußen, sondern auch aufgrund der ansteigenden Gefahr durch Cyberangriffe empfiehlt es sich, möglichst frühzeitig Maßnahmen zu ergreifen, die den bald geforderten Cybersicherheitspflichten entsprechen.