Pflichtenverschärfung durch die NIS-2-Richtlinie: Brauchen Unternehmen künftig einen Cyber-Vorstand?
Mit Blick auf die durch die NIS-2-Richtlinie neu eingeführte nicht delegierbare Verantwortung des Vorstands bzw. der Geschäftsführung für die Gewährleistung der IT-Sicherheit im Unternehmen wird aktuell diskutiert, ob ein eigenes Ressort für IT-Sicherheit erforderlich ist. Benötigen Unternehmen künftig einen Cyber-Vorstand?
Eine Reihe neuer EU-Rechtsakte, die Bestandteil der Digitalstrategie der Europäischen Kommission sind, sowie deren deutsche Umsetzungsgesetze bilden einen neuen Rechtsrahmen zur Stärkung der Cybersicherheit in der EU. Dazu gehört die NIS-2-Richtlinie (NIS = Network Information Security), die am 10. November 2022 vom Europäischen Parlament verabschiedet worden ist und bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden muss. Sie verpflichtet Unternehmen dazu, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu treffen, um die IT-Sicherheit im Unternehmen zu gewährleisten. In Deutschland soll die Umsetzung der NIS-2-Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz erfolgen, das aktuell in einem Referentenentwurf (Stand: Mai 2023) vorliegt.
Damit wird ein Kernelement der Cyber-Sicherheitsstrategie der EU von 2013, die NIS-Richtlinie (Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union) vom August 2016 aktualisiert. Die Cybersicherheitspflichten werden verschärft. Die bisherige NIS-Richtlinie und ihre Umsetzung hatten, eine solche Evaluation der Europäischen Kommission, nicht zu einem hinreichenden Niveau an Cybersicherheit in der EU geführt. Die Umsetzung in den EU-Mitgliedstaaten divergierte teilweise erheblich.
Anwendungsbereich: Für welche Unternehmen gelten die neuen Cybersicherheitspflichten?
Die NIS-2-Richtlinie differenziert zwischen sog. wesentlichen und wichtigen Einrichtungen (in der Terminologie der NIS-Richtlinie früher: Betreiber wesentlicher und Anbieter digitaler Dienste). Die Anhänge I und II zur Richtlinie definieren, wann ein Unternehmen in den Anwendungsbereich fällt. Dabei sind folgende Kriterien maßgeblich: (1.) die Einstufung als KRITIS-Betreiber, (2.) die Zugehörigkeit zu einem Sektor und (3.) die Größe des Unternehmens.
KRITIS-Betreiber sind jedoch nicht nur Unternehmen der kritischen Infrastruktur, sondern gerade auch produzierende Industrieunternehmen, mit mehr als 50 Mitarbeitern und einem Jahresumsatz von mehr als 10 Mio. EUR. Der Anwendungsbereich wurde damit gegenüber der bisherigen NIS-Richtlinie von 2015 deutlich erweitert.
Von besonderer Bedeutung ist die NIS-2-Richtlinie für den Sektor verarbeitendes Gewerbe/Herstellung von Waren (Manufacturing), der erstmals von den neuen Cybersicherheitspflichten erfasst wird. Viele Unternehmen, deren Geschäftsmodelle weder digital sind noch einen besonderen Bezug zu Daten haben, werden sich erstmals vertiefter mit Cybersicherheits-Compliance auseinandersetzen müssen.
Status Quo: Cybersicherheitspflichten nach BSIG, DSGVO und TTDSG
Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) normiert bereits jetzt Cybersicherheitspflichten. Allerdings gelten diese nur für einen eingeschränkten Kreis von Unternehmen, der sich durch die Umsetzung der NIS-2-Richtlinie deutlich erweitern wird. Aktuell differenziert das BSIG für seinen Anwendungsbereich zwischen 3 Kategorien von Unternehmen: (1.) Betreiber kritischer Infrastrukturen (§ 8a BSIG), (2.) Anbieter digitaler Dienste (§ 8c BSIG) und (3.) Unternehmen im besonderen öffentlichen Interesse (sog. „UBI“, § 8f BSIG).
- Betreiber kritischer Infrastrukturen unterliegen dabei den strengsten Cybersicherheitspflichten. Sie müssen unter Einhaltung des Stands der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind (§ 8a BSIG). Seit dem 01.05.2023 müssen als Bestandteil dieser Maßnahmen auch Systeme zur Angriffserkennung eingesetzt werden. Außerdem müssen die Unternehmen sicherstellen, dass die erforderlichen technischen, organisatorischen und personellen Rahmenbedingungen zum effektiven Einsatz solcher Systeme gewährleistet und die Systeme so konfiguriert sind, dass sie das Anforderungsprofil erfüllen. Die Einhaltung dieser Pflichten muss alle 2 Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachgewiesen werden (§ 8a Abs. 3 BSIG).
- Anbieter digitaler Dienste müssen geeignete und verhältnismäßige technische und organisatorische Maßnahmen treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen (§ 8c Abs. 1 S. 1 BSIG). Sicherheitsvorfälle mit erheblichen Auswirkungen auf die Bereitstellung ihrer Dienste müssen die Anbieter unverzüglich an das BSI melden (§ 8c Abs. 3 S. 1, 3 BSIG).
- Unternehmen im besonderen öffentlichen Interesse (sog. UBI) unterliegen einer Verpflichtung zur Registrierung beim BSI. Sie müssen die getroffenen IT-Sicherheitsmaßnahmen sowie Zertifizierungen und Audits dem BSI melden (§ 8f Abs. 1, 5 BSIG).
Auch nach der Datenschutz-Grundverordnung (DSGVO) gelten Cybersicherheitspflichten. Art. 32 DSGVO sieht vor, dass geeignete technische und organisatorische Maßnahmen zu treffen, sind mit dem Ziel der Gewährleistung eines angemessenen Schutzniveaus. IT-Sicherheit im Sinne der DSGVO bedeutet in erster Linie Datensicherheit. Dabei steht die Gewährleistung der Sicherheit, Integrität, Authentizität, Vertraulichkeit und Verfügbarkeit informationstechnischer Systeme einerseits immer in einem Spannungsverhältnis zu ihrer Bedienbarkeit und Funktionalität andererseits.
Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) normiert ebenfalls Cybersicherheitspflichten. Nach § 19 Abs. 1 TTDSG haben Anbieter von Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass der Nutzer von Telemedien die Nutzung des Dienstes jederzeit beenden und er Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann. Diese Pflichten treffen zahlreiche Unternehmen, da bereits eine Website oder ein Webshop ein sog. Telemedium darstellt. Jedoch bleibt das Schutzniveau hinter der NIS-2-Richtlinie zurück. Die Vorkehrungen nach § 19 Abs. 4 S. 1 TTDSG müssen den Stand der Technik lediglich „berücksichtigen“. Ein als sicher anerkanntes Verschlüsselungsverfahren reicht schon aus, z. B. die HTTPS- und SSL-Verschlüsselung oder Firewalls.
Ausblick: Verschärfte Cybersicherheitspflichten nach der NIS-2-Richtlinie
Die NIS-2-Richtlinie erweitert den Anwendungsbereich der Cybersicherheitspflichten, d. h. die betroffenen Unternehmen, wesentlich. Im Vergleich zur NIS-Richtlinie enthält die NIS-2-Richtlinie außerdem einen deutlich umfassenderen Katalog von Cybersicherheitspflichten. Verstöße gegen Cybersicherheitspflichten sollen streng sanktioniert werden. Der Entwurf des deutschen Umsetzungsgesetzes sieht Geldbußen in einem Rahmen von 100.000 EUR über 500.000 EUR bis zu 20 Mio. EUR vor, die über die Vorgaben der NIS-2-Richtlinie (bis zu 10 Mio. EUR) sogar noch deutlich hinausgehen.
Cybersicherheitsmaßnahmen und Risikomanagement
Nach Art. 21 Abs. 1 der NIS-2-Richtlinie sind wesentliche und wichtige Einrichtungen dazu verpflichtet, „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen [zu] ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten.“
Dabei sind der Stand der Technik, EU- und internationale Normen sowie die Umsetzungskosten zu berücksichtigen, wobei die Maßnahmen dem Risiko angemessen sein müssen, vgl. Art. 21 Abs. 1 S. 2, 3.
Die Pflichten zum Risikomanagement umfassen u. a. folgende Maßnahmen, die Art. 21 Abs. 2 beispielhaft nennt:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- Sicherheitsvorfall-Management
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall
- Krisenmanagement
- Gewährleistung der Sicherheit in der Lieferkette
- Schwachstellen-Management
- Risikomanagement im Bereich der Cybersicherheit
- Schulungen zur Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Verschlüsselungstechniken
- Personalsicherheit: Zugriffskontrolle und Berechtigungsmanagement
- Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie ggf. gesicherte Notfallkommunikationssysteme
Verschärft werden auch die Pflichten zur Meldung von erheblichen Sicherheitsvorfällen.
Cybersicherheit als Compliance-Thema und Haftung der Geschäftsführung
Neu ist insbesondere die Überwachungspflicht der Geschäftsleitung nach § 38 Abs. 1 des Entwurfs des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes. Vorstand bzw. Geschäftsführung müssen sicherstellen, dass im Unternehmen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zur Minimierung von Cyberrisiken getroffen werden. Außerdem besteht eine Pflicht, Schulungen zur IT-Sicherheit für Leitungspersonen und andere Mitarbeiter anzubieten.
Diese Pflichten können nicht vollständig delegiert werden. Es verbleibt stets eine Letztverantwortung auf Leitungsebene. Verletzt die Geschäftsleitung diese Compliance Pflichten, macht sie sich gegenüber dem Unternehmen schadensersatzpflichtig. Ein Verzicht auf oder Vergleich über diese Schadensersatzansprüche ist nach dem Gesetzesentwurf ausdrücklich ausgeschlossen.
Sollte dieser Vorschlag tatsächlich gesetzlich so normiert werden, wie im Gesetzesentwurf vorgesehen, müssten bestehende Versicherungslösungen überprüft werden. Die Verletzung von Cybersicherheitspflichten würde ein nicht unerhebliches Risiko für die Geschäftsleitung darstellen, das ggf. durch eine D&O-Versicherung abgesichert werden könnte. Außerdem sollten Unternehmen evaluieren, ob sich der Abschluss einer Cyberversicherung lohnt.
Nach § 91 Abs. 3 AktG ist die Einrichtung eines Risikomanagementsystems bereits Bestandteil der Pflichten des Vorstands einer Aktiengesellschaft und damit Teil allgemeiner Compliance-Pflichten der Geschäftsleitung von Unternehmen. Neu ist die konkrete Erweiterung auf Cybersicherheitspflichten. Aktuell wird daher diskutiert, ob ein eigenes Ressort für Cybersicherheit, d. h. ein Cyber-Vorstand benötigt wird.
Praxishinweis
Auch wenn das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz noch nicht in einer finalen Entwurfsversion vorliegt und bis zur Umsetzung der NIS-2-Richtlinie noch Zeit bis Oktober 2024 bleibt, sind bereits jetzt konkrete Tendenzen erkennbar, welche Pflichten auf die betroffenen Unternehmen zukommen werden. Es ist daher zu empfehlen, die Zeit bis dahin zu nutzen, bereits existente Cybersicherheitskonzepte zu überprüfen, Risiken zu evaluieren und damit zu beginnen, die erforderliche Dokumentation wie Cybersicherheitskonzepte, Notfallpläne etc. jetzt gemeinsam mit technischen und rechtlichen Experten auszuarbeiten und Cybersicherheits-Expertise im Unternehmen zu bündeln. Investitionen in Cybersicherheit zahlen sich vor allem auch aus, da sie ein wichtiger Beitrag zum Schutz des Know-how von Unternehmen vor Industriespionage und zur Minimierung des Risikos von hohen Betriebsausfallschäden im Fall eines Cyberangriffs sind. Prävention und rechtzeitige Vorbereitung können hier den entscheidenden Unterschied machen.
Bisher war man eher zurückhaltend, EDV und IT-Sicherheit als Leitungsaufgabe in einem Unternehmen zu bezeichnen. Im Zeitalter der Industrie 4.0 jedoch, liegt es insbesondere mit Blick auf die gesetzlichen Neuerungen nahe, dass IT-Sicherheit zur „Chefsache“ werden muss. Zwar bedeutet das nicht, dass Geschäftsführer und Vorstände IT-Experten sein müssen. Vielmehr sollten sie technische Expertise von entsprechenden Fachkräften beiziehen. Eine vollständige Delegation wird jedoch nicht mehr möglich sein, denn die Letztverantwortung trägt der Vorstand bzw. Geschäftsführer. Ob es einen „Cyber-Vorstand“ braucht, kann pauschal nicht beurteilt werden. Es sollte im Einzelfall für das jeweilige Unternehmen unter Berücksichtigung seiner vorhandenen Strukturen evaluiert werden, wie die neuen Cybersicherheitspflichten und die Leitungsverantwortung für IT-Sicherheit am besten umgesetzt werden können. Das Thema IT-Sicherheit wird viele Unternehmen in jedem Fall zunehmend weiter beschäftigen, dies nicht zuletzt vor dem Hintergrund der stetig steigenden Zahl von Cyberangriffen.
-
Italienische Bußgeldwelle trifft deutsche Autofahrer
2.307
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
1.7852
-
Gerichtliche Ladungen richtig lesen und verstehen
1.621
-
Klagerücknahme oder Erledigungserklärung?
1.563
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
1.507
-
Brief- und Fernmelde-/ Kommunikationsgeheimnis: Was ist erlaubt, was strafbar?
1.473
-
Wann muss eine öffentliche Ausschreibung erfolgen?
1.328
-
Wie kann die Verjährung verhindert werden?
1.303
-
Verdacht der Befangenheit auf Grund des Verhaltens des Richters
1.154
-
Formwirksamkeit von Dokumenten mit eingescannter Unterschrift
1.0021
-
Risiko der Betriebsstättenbegründung durch mobiles Arbeiten im Ausland
18.11.2024
-
Handelsregistervollmachten – Anforderungen und Umgang bei Rückfragen des Handelsregisters
12.11.2024
-
Datenschutzbehörden müssen nicht zwingend Sanktionen verhängen
07.11.2024
-
Typisch stille Beteiligung an Kapitalgesellschaften – Unterschiede zwischen GmbH und AG
06.11.2024
-
Bundesnetzagentur wird nationale Marktüberwachungsbehörde bei der KI-Aufsicht
05.11.2024
-
Neue Bundesverordnung zur „Cookie-Einwilligung“
31.10.2024
-
Zahl der Datenschutz-Bußgeldverfahren steigt
24.10.2024
-
Untersuchungs- und Rügeobliegenheit im B2B-Bereich
23.10.2024
-
Fernmeldegeheimnis gilt nicht für private E-Mails und Telefonate am Arbeitsplatz
17.10.2024
-
Wirecard: Geschädigte Aktionäre sind keine nachrangigen Gläubiger!
16.10.2024