Seite 2: Das müssen betroffene Betreiber künftig leisten

Inhaltsverzeichnis

Genauso umfassend und vielschichtig wie der Anwendungsbereich der neuen Regelungen werden auch die inhaltlichen Anforderungen an die Betreiber sein. Diese lassen sich grob unterteilen in Vorgaben zum Risikomanagement, Registrierungspflichten, Meldepflichten sowie Anforderungen für Nachweise getroffener Maßnahmen. Im Rahmen des Risikomanagements tritt eine zentrale Besonderheit des Technikrechts deutlich zutage: Weder kann noch will der Gesetzgeber jedes Detail umzusetzender technisch-organisatorischer Maßnahmen regeln. Einerseits mag man ihn deshalb aufgrund der damit verbundenen Rechtsunsicherheit kritisieren wollen, andererseits ist ein solches Vorgehen juristisch spätestens seit dem Kalkar-Beschluss des Bundesverfassungsgerichts aus den späten 1970er-Jahren ohne Weiteres zulässig. Und das ergibt auch Sinn, denn wollte mit einer abschließenden Kasuistik sämtliche notwendigen Einzelmaßnahmen zur Sicherheit im Gesetz auflisten, so könnten diese von einem zum nächsten Tag überholt sein.

Diese Debatte ist nicht neu und wurde schon lang und breit mit dem ersten deutschen IT-Sicherheitsgesetz im Jahr 2015 geführt. Somit führen sowohl NIS2UmsuCG als auch KRITIS-DachG nicht nur den vielzitierten "Stand der Technik" als auschlaggebendes Regelungskriterium an, sondern auch die Geeignetheit und Verhältnismäßigkeit als Ausfluss einer Angemessenheitsbeurteilung der zu treffenden Maßnahmen.

Im KRITIS-DachG werden Notwendigkeit und Verhältnismäßigkeit von Resilienzmaßnahmen anhand von Risikoanalysen ermittelt. Die Analysen führen die Mitgliedstaaten und vierjährlich auch die Unternehmen selbst durch. Deutlich in dieser Unbestimmtheit jedenfalls ist, dass zumindest das NIS2UmsuCG im Ergebnis die konkreteren Maßnahmen als das KRITIS-DachG vorsieht. Das liegt daran, dass hier schon jahrelang Erfahrung in der IT-Sicherheit Kritischer Infrastrukturen gesammelt werden konnten. Die vorgenannten unbestimmten Rechtsbegriffe können durch Branchenspezifischen Sicherheitsstandards (B3S) ausgefüllt werden. Das kann die Rechtssicherheit verbessern.

Auch analoge Infrastrukturen schützen

Mit dem KRITIS-DachG ist geplant, dieses Vorgehen nun auch auf analogen Infrastrukturschutz auszudehnen, indem die Möglichkeit vorgesehen wird, sogenannte "Branchenspezifische Resilienzstandards" (B2S oder BRS) zu erarbeiten, die von den jeweiligen Branchenverbänden vorgeschlagen werden können. Für die Praxis wäre wünschenswert, würde der Gesetzgeber die nun günstige Gelegenheit nutzen, um die branchenspezifischen Standards mit einem "Haltbarkeitsdatum" zu versehen – zwei Jahre erscheinen hier als praktikabler Rahmen. Die Umsetzung der gesetzlich geforderten Maßnahmen ist sowohl nach NIS2UmsuCG als auch nach KRITIS-DachG zweijährlich gegenüber BSI und BBK nachzuweisen.

Auch im Hinblick auf die Registrierung zeigen sich zwischen NIS2UmsuCG und KRITIS-DachG deutliche Parallelen. So müssen sich im Anwendungsbereich beider Vorschriften betroffene Unternehmen nicht nur registrieren, sondern ebenfalls eine Kontaktstelle benennen. Damit einher gehen entsprechende Meldepflichten bei Sicherheitsvorfällen nach einem gesetzlich nunmehr ausdrücklich vorgeschriebenen Stufenkonzept. Demnach sind Vorfälle jeweils meldepflichtig, wenn sie sich auf die Erbringung der kritischen Dienstleistung erheblich auswirken könnten. Jeweils binnen der ersten 24 Stunden nach Vorfallsfeststellung muss eine frühe Erstmeldung erfolgen. Binnen 72 Stunden ist die eigentliche Meldung abzugeben. Es folgen dann, je nach Einzelfall, Zwischen- und Fortschrittsmeldungen sowie stets eine Abschlussmeldung einen Monat nach initialer Feststellung des Vorfalls. Die nach NIS2UmsuCG vorgesehene behördliche Rückmeldung und die Schaffung einer gemeinsamen Meldestelle von BSI und BBK sind begrüßenswert und dürften sicherlich zu leichterer Vorfallsbearbeitung beitragen.

Neuer Bußgeldrahmen schafft neue Argumente für IT-Sicherheitsbeauftragte

IT-Sicherheitsbeauftragte stehen immer wieder vor der schwierigen Aufgabe, bei Geschäftsführung oder Vorstand nicht nur Gehör, sondern auch passende Budgets für Sicherheit und Resilienz zu finden. Zumindest für das NIS2UmsuCG ist schon jetzt klar, dass diese Aufgabe in Zukunft leichter fallen wird, denn die EU schreibt vor, dass Sanktionen für Verstöße hinreichend wirksam und abschreckend sein müssen. Darunter stellt sich der deutsche Gesetzgeber in Anknüpfung an die DSGVO-Konzernregelungen je nach Schwere des Verstoßes bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Vorjahresumsatzes eines Unternehmens. Selbige Intention gilt letztlich auch für die CER-Richtlinie respektive das KRITIS-DachG, wobei in der aktuell im Juli 2023 veröffentlichten Fassung des Referentenentwurfs noch keine genauen Zahlen genannt werden. Aufgrund des bisherigen Gleichlaufs zwischen dem NIS2UmsuCG und dem KRITIS-DachG sind ähnliche Sanktionsdrohungen wahrscheinlich.

Cybersecurity-Planwirtschaft durch mehr gesetzlich bestimmte Management-Verantwortlichkeit?

Die Management-Verantwortlichkeit für mehr Sicherheit und Resilienz soll laut Gesetzesentwurf nicht mit der bloßen erweiterten Bebußbarkeit von Rechtsverstößen enden. Denn was sicherlich nicht im Sinne vieler Geschäftsführer und Vorstände sein dürfte, sind die direkten sie betreffenden Compliance-Pflichten. Gerade das NIS2UmsuCG geht hier erheblich über das geltende Recht hinaus. So muss die Geschäftsleitung die getroffenen Risikomanagement-Maßnahmen zur IT-Sicherheit billigen und überwachen. Die Delegation dieser Pflichten ist beschränkt, und stets verbleibt die Letztverantwortung der Unternehmensleitung.

Überdies verweist das NIS2UmsuCG in unmittelbarer Umsetzung der NIS2-Richtlinie auf die persönliche Haftung der Geschäftsleitung für Schäden, die durch mangelhafte Risikomanagementvorgaben im Bereich der IT-Sicherheit entstanden sind. Außerdem ist vorgesehen, dass sich die Geschäftsleitung ausreichende Fachkenntnisse zur Bewertung der Risikomanagement-Maßnahmen aneignen muss. Es kommt somit eine ausdrückliche "Schulbank-Pflicht", die von manch einem politischen Kommentator im noch laufenden Gesetzgebungsverfahren auch als "planwirtschaftliche Regulierung" der IT-Sicherheits moniert wird.

So geht es weiter

Nachdem das NIS2UmsuCG viele Vorstände und Geschäftsführer aufgeweckt hat, kommt mit dem KRITIS-DachG der nächste Knall. Grundsätzlich tut mehr Regulierung gut, denn wer wirtschaftlich vom IT-Einsatz in seinem Unternehmen profitiert, muss auch bereit sein, mit den damit einhergehenden Risiken umzugehen – und das betrifft schon lange nicht mehr nur Kritische Infrastrukturen. Gerade bei vielen mittelständischen Unternehmen ist die Botschaft zu besserer IT-Sicherheit und Resilienz trotz der massiv gestiegenen Bedrohungslage immer noch nicht im Management angelangt; das dürfte sich ändern. Dem deutschen Gesetzgeber kann man dabei nicht allzu viele Vorwürfe machen, denn die allermeisten der umzusetzenden Regelungen sind durch das europäische Recht bereits vorgegeben. Deshalb ist jetzt der falsche Zeitpunkt für umfassende wirtschaftsgetriebene Lobbyarbeit gegen Cybersicherheit und Resilienz, denn die kommt zu spät.

Dennis-Kenji Kipker arbeitet als Professor für IT-Sicherheitsrecht an der Hochschule Bremen. Außerdem ist er als Legal Advisor des VDE, CERT@VDE im Policy-Bereich als Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin tätig. Gleichzeitig berät er die Bundesregierung und die Europäische Kommission zu Cybersicherheitsfragen. Seit 2023 ist er zudem Mitglied im Advisory Board des litauischen Cybersecurity-Unternehmens NordVPN.

Tilmann Dittrich hat ein Studium der Rechtswissenschaften in Tübingen und Freiburg und einen LL.M.-Studiengang im Medizinrecht an der Heinrich-Heine-Universität Düsseldorf absolviert. Gleichzeitig ist er Doktorand an einem Lehrstuhl für Strafrecht an der Heinrich-Heine-Universität und Rechtsreferendar im OLG-Bezirk Düsseldorf.

(ds)