NIS2-Umsetzung verzögert sich – Unternehmen müssen trotzdem handeln
Auch wenn die EU-Cybersicherheitsrichtlinie NIS2 noch nicht in nationales Recht umgesetzt ist, werden Firmen nicht drumherum kommen, jetzt aktiv zu werden.
(Bild: Ivan Marc/Shutterstock.com)
- Christopher Hock
- Christian Kirchberger
- Roman Krepki
NIS2 ist als eine EU-Richtlinie ausgekleidet. Anders als EU-Verordnungen – wie etwa die Datenschutzgrundverordnung (DSGVO) – gelten Richtlinien nicht unmittelbar gegenüber den juristischen und natürlichen Personen und sonstigen Einrichtungen, die sie betreffen sollen. Vielmehr verpflichten EU-Richtlinien die EU-Mitgliedstaaten, den Rahmen, den die jeweilige Richtlinie setzt, zu konkretisieren und in nationale Gesetze zu überführen. EU-Richtlinien sollen den Mitgliedsstaaten mehr Spielraum geben als EU-Verordnungen. Verordnungen schaffen Einheitsrecht und Richtlinien zur Rechtsangleichung in der EU.
Eigentlich hätte NIS2 gemäß EU-Vorgaben schon im Oktober 2024 umgesetzt sein müssen. Die bisherige Regierungskoalition hatte geplant, mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz die NIS2-Richtlinie bis zum März 2025 in das deutsche Recht zu transformieren. Damit sollte Cybersicherheit für viele Tausend Unternehmen in Deutschland erstmals gesetzliche Pflicht werden. Auch nach dem Aus für die Ampel-Regierung im November wurde noch weiter an der Umsetzung verhandelt bis zum endgültigen Scheitern Ende Januar.
Mit der Konstituierung des neuen Bundestags sind sämtliche vom alten Bundestag noch nicht beschlossenen Gesetzesentwürfe neu einzubringen und zu verhandeln, gemäß dem sogenannten Diskontinuitätsprinzip. Die Unterbrechung des Gesetzgebungsverfahrens gibt den von der NIS2-Richtlinie betroffenen privaten und öffentlichen Einrichtungen Gelegenheit, sich erstmals oder bereits intensiver mit den Anforderungen der EU-Richtlinie und ihrer nationalen Umsetzung zu befassen. Herzstück des Entwurfs eines NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes wiederum ist der Entwurf zur Anpassung des BSI-Gesetzes (BSIG-E).
Vom Infrastrukturschutz zum umfassenden Wirtschaftsschutz
Der Anwendungsbereich der NIS2-Richtlinie und des BSIG-E ist gegenüber ihren Vorläufern erheblich ausgedehnt worden, um eine umfassende Abdeckung der Sektoren und Dienste zu gewährleisten, die im Binnenmarkt für grundlegende gesellschaftliche und wirtschaftliche Tätigkeiten von entscheidender Bedeutung sind. Der Kreis der zukünftig vom BSIG betroffenen Unternehmen wird so auf mehrere Zehntausend anwachsen.
Der BSIG-E adressiert folgende private und öffentliche Einrichtungen:
Die Geschäftsleitung im Blick
Die Geschäftsleitung ist verpflichtet, Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen. Ein älterer Entwurf des BSIG sah noch vor, dass die Geschäftsleitung diese Pflichten nicht delegieren durfte. In der aktuellen Entwurfsversion findet sich das Verbot nicht mehr. An den Schulungspflichten ändert das aber nichts. Der BSIG-E sieht weiterhin Pflichtschulungen für Geschäftsleitungen auf dem Gebiet der Cybersicherheit vor.
Die aktuelle Entwurfs-Regelung zur Haftung der Leitungsorgane sieht vor, dass Geschäftsleitungen ihren Unternehmen für Schäden, die sie durch Pflichtverletzungen schuldhaft verursachen, nach den Regelungen des Gesellschaftsrechts haften.
Angesichts der Bedeutung der IT für Unternehmen haften Geschäftsleiter für ihr aktives Cybersicherheitsmanagement, obgleich den Geschäftsleitern ein unternehmerischer Handlungsspielraum zusteht ("Business Judgement Rule"). Der wird aber angesichts der aktuellen Bedrohungslage dann nicht pflichtgemäß ausgeübt, wenn sich die Geschäftsleitung gegen ein angemessenes IT-Sicherheitsmanagement entscheidet. Bloßes Nichtstun wird in der Regel nicht als Verstoß gegen die Business Judgement Rule qualifiziert. Der BISG-E enthält allerdings einen Katalog von Handlungspflichten und zwingt die Geschäftsleitungen zum konkreten Handeln. Wird die Maßnahmenliste von der Geschäftsleitung ignoriert, handelt sie pflichtwidrig.
Keine Zeit zum Ausruhen
NIS2 zwingt Unternehmer und öffentliche Stellen zum Handeln, da keine Übergangsfrist vorgesehen ist. Die vom BSIG-E formulierten Pflichten müssen die Einrichtungen daher erfüllen können, sobald das Gesetz gilt. Betroffene Einrichtungen haben daher keine Wahl. Sie müssen sich mit den Inhalten des jeweils jüngsten Entwurfs auseinandersetzen und den dort formulierten Pflichtenkatalog mit hoher Priorität abarbeiten. Um der Cybersicherheit durch NIS2 das nötige Gewicht zu verleihen, verknüpft der BSIG-E Verstöße mit empfindlichen Bußgeldern.
Private und öffentliche Einrichtungen sollten bereits wissen, ob sie Adressat der BSIG-E sind. Sie sollten beachten, dass bereits der Betrieb der IT-Infrastruktur eines Konzerns durch eine eigene IT-Service-Gesellschaft in den sachlichen Anwendungsbereich fällt. Wer vom neuen Gesetz betroffen ist, muss sich mit den einzelnen Pflichten vertraut machen. Die Kernvorschrift verpflichtet Einrichtungen, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen und um die Auswirkungen von Sicherheitsvorfällen zu verhindern oder möglichst gering zu halten.
Videos by heise
Konsequenterweise werden die Unternehmen zur Umsetzung von Sicherheitsanforderungen auch in der gesamten Lieferkette verpflichtet. Die Kenntnis der eigenen IT, der Prozesse und Lieferanten ist daher zwingend notwendig. Materiell können sich Einrichtungen bezüglich der umzusetzenden IT-Sicherheitsmaßnahmen an den internationalen Normen ISO/IEC 27001 orientieren, um den gesetzlichen Grad an Cybersicherheit zu erlangen und aufrechtzuerhalten.
Bleibt zu hoffen, dass der Schwebezustand bei der längst überfälligen Umsetzung der NIS2-Richtlinie zügig beendet wird, um Rechtssicherheit zu schaffen. Ebenfalls wäre es wünschenswert, dass der Gesetzgeber die Gelegenheit nutzt, letzte Mängel des Gesetzesentwurfs zu beseitigen.
(axk)
