Umsetzung der NIS2 gescheitert: Aufatmen für Geschäftsleitung und Cyber-Compliance-Verantwortliche?

Mit der zweiten EU-Richtlinie zum Schutz von Netzwerk- und Informationssystemen (NIS2)[1] vor Cyberangriffen hat die EU einen einheitlichen Rechtsrahmen zur Fortentwicklung der Cybersicherheit geschaffen. Mitgliedstaaten hatten die NIS2 bis zum 17. Oktober 2024 umzusetzen. Die Verhandlungen über das deutsche Umsetzungsgesetz – im Wesentlichen eine Neufassung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BISG-E)[2] – sind kurz vor den Neuwahlen jedoch gescheitert. Ob sich die spezifische Geschäftsführerhaftung für Cybersicherheit damit erledigt hat und welche acht Maßnahmen weiterhin auf jeder Cyber-Compliance-Liste stehen sollten, erläutern wir in diesem Client Alert.

Wie geht es mit der Umsetzung weiter?

Es spricht vieles – nicht zuletzt auch das gegen Deutschland bereits eingeleitete Vertragsverletzungsverfahren der EU-Kommission – dafür, dass die künftigen Regierungsparteien bis Ende des Jahres ein neues Umsetzungsgesetz ausarbeiten werden.  Die konservative Oppositionspartei, die in den Umfragen aktuell vorne liegt, hatte die derzeitigen Regierungsparteien aufgefordert, die NIS2 gespiegelt in nationales Recht umzusetzen und den Bürokratieaufwand zu minimieren. Sollte es zum sich aktuell abzeichnenden Regierungswechsel kommen, ist zu erwarten, dass „nur“ die Mindestvorgaben der NIS2 umgesetzt werden.

Für Unternehmen in Deutschland wäre das grundsätzlich vorteilhaft, weil Wettbewerbsnachteile zu anderen Mitgliedstaaten vermieden werden. Orientierte sich Deutschland wie andere Mitgliedstaaten an den Mindestvorgaben, bestünde zudem die Chance auf eine EU-weit harmonisierte Cybersicherheitsregulierung anstelle eines regulatorischen Flickenteppichs mit unterschiedlichen Anforderungsniveaus.

Für Geschäftsleiter bietet das neue Umsetzungsverfahren darüber hinaus Gelegenheit, eine Klarstellung zur spezifischen Geschäftsführerhaftung zu erwirken:

• Art. 21 NIS2 schreibt Unternehmen verschiedene Maßnahmen (wie Notfallpläne, regelmäßige Sicherheitsüberprüfungen) zur Risikominimierung vor. Geschäftsleiter müssen nach Art. 20 NIS2 die ergriffenen Maßnahmen billigen, ihre Umsetzung überwachen und können für Verstöße verantwortlich gemacht werden. Die alte Regelung des BISG-E zur Geschäftsleiterhaftung deutete auf eine verstärkte Verpflichtung der Geschäftsleitung hin: § 38 Abs. 1 BISG-E verpflichtet Geschäftsleiter, die zu ergreifenden Risikomanagementmaßnahmen „umzusetzen“, anstatt die Vornahme durch IT-Fachkräfte oder den Informationssicherheitsbeauftragten zu billigen und zu überwachen. Präzise Formulierungen sind an dieser Stelle notwendig, um den Umfang und die Delegationsfähigkeit dieser Maßnahmen klarzustellen.
• Unklarheiten bestanden zuletzt auch hinsichtlich der Haftungsnorm für Geschäftsleiter. Die alte Fassung des § 38 Abs. 2 BISG-E sah vor, dass die Geschäftsleitung bei einer schuldhaften Verletzung ihrer Pflichten nach den anwendbaren gesellschaftsrechtlichen Bestimmungen haften sollte (also im Fall der AG oder GmbH nach § 93 AktG bzw. § 43 GmbHG). Wonach sich die Haftung der Geschäftsleitung von anderen Gesellschaftsformen handeln sollte, blieb unklar, zumal das BISG-E keine eigenen Haftungsregelungen enthielt. Insgesamt zeigten sich hier Unterschiede zu den Vorgaben der NIS2. Die entsprechenden Regelungen in einem neuen Entwurf sollten daher eng verfolgt werden. 

Neben der NIS2 wurde auch die Richtlinie über die Resilienz kritischer Einrichtungen[3] nicht rechtzeitig umgesetzt. Diese enthält Regelungen zur physischen Resilienz kritischer Anlagen. Der künftige Gesetzgeber hat nun die Chance Synergien durch Verwendung einheitlicher Begriffe und Definitionen in den Umsetzungsgesetzen zu schaffen.

Was sollten Unternehmen jetzt tun?

Die gute Nachricht ist: Die NIS2 entfaltet trotz Ablauf der Umsetzungsfrist keine unmittelbare Wirkung. Unternehmen drohen damit in den nächsten Monaten keine Sanktionen bei mangelnden Sicherheitsvorkehrungen. Gleichwohl ist absehbar, dass die Mindestvorgaben (s. nachfolgende Abschnitte) künftig Geltung erlangen werden. In jedem Fall sollten Unternehmen die Zeit nutzen, um folgende acht Maßnahmen zu ergreifen:

• Betroffenheit klären: Prüfen, ob das Unternehmen unter die NIS2 fällt. Dazu kann auch die NIS-2-Betroffenheitsprüfung des BSI genutzt werden.
• Projektteam zusammenstellen: Neben der Geschäftsleitung, dem IT-Leiter und dem Datenschutzbeauftragten sollten Unternehmen Rechtsbeistand hinzuziehen.
• Risikobewertung vornehmen: Cyberrisiken identifizieren und bestehende Schutzmaßnahmen analysieren. Kleine und mittlere Unternehmen können hierfür auch den CyberRisikoCheck des BSI nutzen.
• ISMS anpassen: Anhand der Risikobewertung technische und organisatorische Schutzmaßnahmen optimieren.
• Lieferketten überprüfen: Dienstleister und Partner in die Sicherheitsstrategie einbinden. 
• Meldeprozesse etablieren: Klare Prozesse zur Meldung von Sicherheitsvorfällen definieren.
• Geschäftsleitung schulen: Geschäftsführung für Themen der Cybersicherheit sensibilisieren. Als Einstieg kann hier das Handbuch der Allianz für Cyber-Sicherheit dienen.
• Gesetzgebungsprozess überwachen: Die nationalen Regelungen können über die Richtlinie hinausgehen.

Status-quo der Cyberregulierung

Mit den vorgenannten Maßnahmen können Unternehmen ihre Cyber-Compliance-Organisation soweit erforderlich rechtzeitig an die sich abzeichnenden Vorgaben der NIS2 anpassen. Auch eine gespiegelte Umsetzung der NIS2 würde den Status-quo der Cyberregulierung in Deutschland wesentlich verändern.

Die NIS2 ersetzt ihre Vorgängerrichtlinie (NIS1)[4] aus dem Jahr 2016 und erhöht die Anforderungen im Bereich der Cybersicherheit durch einen breiteren Anwendungsbereich, neue Vorschriften und mehr Aufsichtsbefugnisse. Sie verpflichtet die Mitgliedstaaten unter anderem, ihre Cybersicherheitsaktivitäten zu verbessern und gleichzeitig Risikomanagementmaßnahmen und Berichtspflichten für Einrichtungen in mehr Sektoren einzuführen.

In Deutschland macht das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und flankierend die KRITIS-Verordnung Betreibern kritischer Infrastrukturen (KRITIS) bereits rechtliche Vorgaben bezüglich Cybersicherheit. Zu den KRITIS zählen Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Die NIS2 sieht einen weiteren Anwendungsbereich vor. Statt bislang rund 4.500 werden nach der Umsetzung in nationales Recht rund 30.000 Unternehmen in Deutschland ihre internen Prozesse an die neuen Vorgaben anpassen müssen. Bei Verstößen drohen Bußgelder in Millionenhöhe und die persönliche Haftung der Geschäftsleiter.

Welche Unternehmen sind künftig betroffen?

Die NIS2 unterscheidet zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen.[5] Unter welche Kategorie ein Unternehmen fällt, hängt davon ab, ob es Waren oder Dienstleistungen in einem Sektor mit hoher Kritikalität oder in einem sonstig kritischen Sektor anbietet und wie groß das Unternehmen ist. Insgesamt benennt die NIS2 18 Sektoren (unter anderem Energie, Verkehr und das Gesundheitswesen sowie Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen und Anbieter digitaler Dienste).

Als besonders wichtige Einrichtung gelten

• Unternehmen, die einem Sektor mit hoher Kritikalität zuzuordnen sind und mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen;

• Betreiber kritischer Anlagen;

• Qualifizierter Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbeiter;

• Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.

Wichtige Einrichtungen sind

• Unternehmen, die in einem der 18 Sektoren zuzuordnen sind und mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro oder weniger aufweisen;

• Vertrauensdiensteanbieter;

• Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die weniger als 50 Mitarbeiter beschäftigen und einen Jahresumsatz und eine Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger aufweisen.

Welche Pflichten treffen die regulierten Einrichtungen?

Unternehmen, die in den Anwendungsbereich der NIS2 fallen, treffen vier Kernpflichten. 

Risikomanagementmaßnahmen: Die betroffenen Unternehmen sind verpflichtet, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Sicherheitsrisiken ihrer betriebswichtigen Netz- und Informationssysteme zu beherrschen. Ebenso gefordert sind Maßnahmen, um Auswirkungen von Sicherheitsvorfällen auf Kunden und Dritte zu verhindern oder möglichst gering zu halten. Technisch gesprochen verlangt die Richtlinie die Etablierung eines Information Security Management Systems. Unternehmen können sich dabei an der ISO 27001 und den zugehörigen Handlungsempfehlungen ISO 27002 oder dem BSI IT-Grundschutz orientieren. Betreiber kritischer Anlagen müssen darüberhinausgehende Maßnahmen, wie bspw. die Implementierung von Angriffserkennungssystemen, ergreifen.

Sicherheitsanforderungen an die Lieferkette: Die Handlungspflichten gehen jedoch über Maßnahmen zum Schutz der eigenen Umgebung hinaus. Angesichts der zunehmenden Cyberangriffe auf Dienstleister verlangt die NIS2 von Unternehmen, ihre Lieferketten zu sichern. Das bedeutet, dass Unternehmen sicherstellen müssen, dass ihre Geschäftspartner und Dienstleister ebenfalls angemessene Sicherheitsvorkehrungen für ihre Informationssicherheit treffen. Dazu kann es erforderlich sein, die vertraglichen Vereinbarungen mit Lieferanten und Diensteanbietern anzupassen. Unternehmen ist zu raten, Sicherheitsanforderungen in die Vertragsvereinbarungen mit ihren Lieferanten mitaufzunehmen.

Meldepflichten: Die NIS2 etabliert eine dreistufige Meldepflicht bei erheblichen Sicherheitsvorfällen. Regulierte Unternehmen werden verpflichtet, innerhalb von 24 Stunden nach Bekanntwerden eines solchen Vorfalls eine Frühwarnung an das BSI zu übermitteln. Innerhalb von 72 Stunden müssen sie eine offizielle Meldung abgeben, in der sie eine erste Bewertung des Vorfalls, einschließlich seiner Schwere und Auswirkung vornehmen. Spätestens nach einem Monat ist ein Abschlussbericht vorzulegen. Die EU-Durchführungsverordnung[6] macht konkrete Angaben dazu, wann ein Sicherheitsvorfall als erheblich anzusehen ist. Sie richtet sich allerdings nur an digitale Dienstleister und IT-Infrastrukturanbieter.

Umsetzungs-, Überwachungs- und Schulungspflicht der Geschäftsleiter: Die NIS2 schreibt vor, dass die Geschäftsleiter der regulierten Einrichtungen die zu ergreifenden Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen müssen. Zudem werden Geschäftsleiter verpflichtet, regelmäßig an Schulungen zur Cybersicherheit teilzunehmen.

Wissenschaftlicher Mitarbeiter Wesley Kruin hat bei der Erstellung dieses Client Alert mitgewirkt.

[1] Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie € 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148.

[2] NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz.

[3] Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates.

[4] Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union.

[5] Das ist die Bezeichnung aus dem Entwurf des deutschen Umsetzungsgesetz. In der NIS2 selbst heißen die beiden Kategorien: wesentlich und wichtige Einrichtungen.

[6] Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024.