NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) - Rechtsanwalt Ferner

NIS2UmsuCG: Zur Umsetzung der NIS2-Richtlinie liegt inzwischen der Referentenentwurf eines Gesetzes zur Umsetzung der NIS-2- und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz –
NIS2UmsuCG) vor.

Es zeichnet sich ab, dass das BSI-Gesetz sich verändern wird: Ursprünglich angetreten, um die Kompetenzen und Maßnahmen des BSI zu regeln, wandelt es sich immer mehr zu Cybersicherheits-Regelungswerk. Dies war mit dem IT-Sicherheitsgesetz schon absehbar, wurde mit dem IT-Sicherheitsgesetz 2.0 aufgebaut und wird nun auf ein vollkommen neues Level gehoben. Insbesondere die Privatwirtschaft muss sich warm anziehen.

Weitere Beiträge zum Thema IT-Sicherheit im Unternehmen:

Inhalte Anzeigen

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz: Ausbau des BSI-Gesetzes

Das BSI-Gesetz kommt derzeit in der Nummerierung bis §15, freilich haben einige Paragrafen mehrere Buchstaben, sodass es insgesamt etwas mehr Normen sind. Gleichwohl sagt es etwas aus, wenn man indessen sieht, dass die Nummerierung zukünftig über §60 BSIG hinausgehen soll – dass ein solcher Umfang auch Auswirkungen auf den Alltag hat, drängt sich auf.

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist eine Initiative der Europäischen Union, die darauf abzielt, ein hohes gemeinsames Niveau der Netzwerk- und Informationssicherheit in allen Mitgliedstaaten sicherzustellen. Sie ist die Nachfolgerin der ersten NIS-Richtlinie und bringt wesentliche Änderungen und Erweiterungen mit sich. Die NIS2-Richtlinie konzentriert sich insbesondere auf kritische Sektoren und Dienste, die für die Gesellschaft und die Wirtschaft von grundlegender Bedeutung sind.

Kernpunkte des deutschen Umsetzungsgesetzes

Das deutsche Gesetz zur Umsetzung der NIS2-Richtlinie hebt insbesondere hervor:

  1. Erweiterter Anwendungsbereich: Das Gesetz bezieht sich auf „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“, darunter Betreiber kritischer Anlagen und Einrichtungen der Bundesverwaltung. Dies bedeutet, dass eine größere Anzahl von Unternehmen und Organisationen unter die neuen Regelungen fallen wird.
  2. Verstärktes Risikomanagement: Unternehmen sind verpflichtet, angemessene und wirksame Maßnahmen zur Risikominimierung und zur Handhabung von Sicherheitsvorfällen zu implementieren (§ 30 BSIG-E). Dies beinhaltet die Entwicklung von Risikomanagementplänen und die regelmäßige Überprüfung der Sicherheitsmaßnahmen.
  3. Meldepflichten: Es gibt eine erweiterte Meldepflicht für Sicherheitsvorfälle (§ 32 BSIG-E), die sicherstellt, dass diese Vorfälle zeitnah gemeldet und entsprechend bearbeitet werden.
  4. Registrierungspflichten: Besonders wichtige Einrichtungen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik registrieren und relevante Daten bereitstellen (§ 33 BSIG-E).
Fachanwalt für IT-Recht Jens Ferner zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Kleinstunternehmen sind (derzeit) sehr stark privilegiert – alle anderen müssen aufpassen. Gegenwärtig ist Cybersicherheit zwar oft „auf der Agenda“, aber es wird mit Ausgaben noch gegeizt – das kann sich zeitnah bitter rächen. Und viele digitale Geschäftsmodelle werden mit diesem Gesetz an ihre Grenzen kommen. Zu Recht.

Kategorisierung von Betreibern

Mit dem Referentenentwurf kommt eine Einteilung wie Folgt:

  • Betreiber kritischer Anlagen: natürliche oder juristische Personen oder eine rechtlich unselbständige Organisationseinheit einer Gebietskörperschaft, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine kritische Anlage in benannten Sektoren ausübt.
  • Besonders wichtige Einrichtungen: Großunternehmen in ausgewählten Sektoren sowie qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter (Grössenunabhängig); ebenso erfasst sind mittlere Unternehmen, die Anbieter von Telekommunikationsdiensten (§3 Nr. 44 TKG) oder öffentlich zugänglichen Telekommunikationsnetzen sind;
  • wichtige Einrichtungen: mittlere Unternehmen in bestimmten Bereichen, was aber wohl weit zu verstehen ist, da u.a. ausdrücklich digitale Infrastruktur, Verwaltung von IKT-Diensten (Business- to-Business) und Anbieter digitaler Dienste erwähnt sind.

Näheres wird im Übrigen über eine Rechtsverordnung geregelt werden, es ist absehbar, dass die bisherige Einteilung bestehen bleiben wird. Wie immer werden Kleinstunternehmer und -Unternehmen privilegiert; gleichwohl ist eine Ausweitung des Anwendungsbereichs festzustellen, mittlere Unternehmen im Sinne des BSIG-E liegen im Bereich der 50 bis 249 Mitarbeiter, wobei die Umsätze ein weiteres Kriterium sind. Gerade in diesem Bereich, wird man sehr genau hinsehen müssen, es ist mit einer starken Ausdehnung des Anwendungsbereichs zu rechnen.

Auswirkungen auf betroffene Unternehmen

Für Unternehmen, die unter die Kategorien „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ fallen, ergeben sich aus diesem Gesetz neue Verpflichtungen und Herausforderungen:

  1. Erhöhter Dokumentationsaufwand: Unternehmen müssen die Einhaltung der gesetzlichen Anforderungen umfassend dokumentieren. Dies erfordert möglicherweise zusätzliche Ressourcen und Prozesse.
  2. Investition in IT-Sicherheit: Unternehmen müssen möglicherweise in ihre IT-Infrastruktur und Sicherheitssysteme investieren, um den erhöhten Anforderungen gerecht zu werden.
  3. Regelmäßige Überprüfungen und Updates: Die Risikomanagementprozesse und Sicherheitssysteme müssen regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie weiterhin wirksam sind und den gesetzlichen Anforderungen entsprechen.

Zu gewährende Mindestsicherheit

Der Gesetzentwurf setzt die Mindestsicherheitsstandards des Artikels 21 der NIS2-Richtlinie vollständig um. Die Intensität der zu treffenden Maßnahmen ist nach Anlagentypen gestaffelt.

Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, verhältnismäßige technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der
informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen auf ihre oder andere Dienste zu verhindern oder möglichst gering zu halten. §30 BSIG-E ist hier die zentrale Norm und sieht als Maßnahmen vor:

  • Schemata zur Risikoanalyse und Sicherheit von Informationssystemen,
  • Incident Management,
  • Aufrechterhaltung des laufenden Betriebs einschließlich Backup-Management und Disaster Recovery sowie Krisenmanagement,
  • Sicherheitsmaßnahmen bei der Beschaffung, Entwicklung und Wartung von IT-Systemen, -Komponenten und -Prozessen, einschließlich Schwachstellenmanagement und Offenlegung,
  • Schemata und Prozesse zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cyber-Sicherheit,
  • grundlegende Cyber-Hygieneprozesse und Cyber-Sicherheitsschulungen,
  • Verfahren und Schemata für die Anwendung von Kryptographie und Verschlüsselung,
  • Personalsicherheit, Schemata für Zugangskontrolle und Ressourcenmanagement,
  • Einsatz von Multi-Faktor- oder End-to-End-Authentifizierungslösungen, sichere Sprach-, Video- und Textkommunikation und gegebenenfalls sichere Notfallkommunikationssysteme innerhalb der Organisation.

IT-Sicherheitsrecht

Beratung im IT-Sicherheitsrecht, rund um Verträge, Haftung und von jemandem der es kann: IT-Fachanwalt und Strafverteidiger Jens Ferner bringt sein Fachwissen mit dem Hintergrund des Softwareentwicklers und Verteidigers von Hackern in Unternehmen ein!

Wir beraten Sie im IT-Sicherheitsrecht

Haftung der Geschäftsleitung

Die geplante Haftung hat es in sich – und geht weit über das hinaus, was viele Geschäftsleiter derzeit erwarten. Zunächst sieht § 38 Abs. 1 BSIG-E vor, dass Geschäftsleiter von besonders wichtigen Einrichtungen und von bedeutenden Unternehmen verpflichtet sind, die von diesen Einrichtungen getroffenen Risikomanagementmaßnahmen (siehe oben, § 30) im Bereich der Cyber-Sicherheit zu genehmigen und deren Umsetzung zu überwachen.

Die Beauftragung Dritter zur Erfüllung dieser Pflichten ist nicht zulässig. Geschäftsleiter, die ihre Pflichten hiernach verletzen, haften dem Institut für den entstandenen Schaden, vgl. § 38 Abs. 2 BSIG-E. Als Schaden gelten nach der Gesetzesbegründung übrigens sowohl Regressansprüche als auch Bußgelder!

Soweit vorhersehbar. Es geht aber noch weiter, denn nach § 38 Abs. 3 BSIG-E ist ein Verzicht des Trägers auf Ersatzansprüche ebenso unwirksam wie ein Vergleich des Trägers über solche Ansprüche! Das bedeutet, dass jede Pflichtverletzung unmittelbar zu einer persönlichen, nicht abdingbaren und keinem Vergleich zugänglichen Haftung des Geschäftsführers führt.

Das hat der Gesetzgeber so gewollt: Er sieht eine Ausnahme für den Fall vor, dass der Ersatzpflichtige zahlungsunfähig ist und sich zur Abwendung des Insolvenzverfahrens mit seinen Gläubigern vergleicht oder die Ersatzpflicht in einem Insolvenzplan geregelt ist.

Haftung für IT-Sicherheit

Geschäftsführung ohne und Cybersicherheit funktioniert nicht – Punkt. Und zwar noch nicht jetzt, aber schon zeitnah, wird es existenziell kostspielig für und Vorstände, die Ihre Aufgaben nicht hinreichend wahrnehmen – persönlich! Dabei kann eine Haftung schon jetzt eintreten.

Domaindaten

Es kommt mit den §§51ff. BSIG-E etwas Neues, ein neuer „Datenschatz“ für Ermittler – jedenfalls in dieser Form: Um zur Sicherheit, Stabilität und Robustheit des Domain Name Systems beizutragen, sind Top Level Domain Name Registries und Domain Name Registry Service Providers verpflichtet, genaue und vollständige Registrierungsdaten über Domain-Namen in einer eigenen Datenbank zu sammeln.

Diese Datenbank enthält die erforderlichen Angaben zur Identifizierung und Kontaktaufnahme mit den Inhabern der Domänennamen und den Kontaktstellen, die die Domänennamen im Rahmen der TLD verwalten. Nach dem Gesetz sind dies mindestens Name, E-Mail-Adresse und Telefonnummer, jedoch noch keine Postanschrift.

Weitere Beiträge zum Thema IT-Sicherheit im Unternehmen:

Fazit

Es war zu lange überfällig, nun kommt der Hammer: Über Jahrzehnte wurden in Deutschland die Kosten der „Digitalisierung“ schöngerechnet durch unpassenden Geiz bei IT-Sicherheit und Datenschutz.

Letzteres wurde durch die schon angepackt, wenn auch in der Praxis halbherzig durchgesetzt – jetzt kommt die Cybersicherheit dazu. Die persönliche Haftung wird zu einem Umdenken vieler führen, ebenso zu massiv steigenden Kosten klassischer digitaler Lösungen. Geschäftsführer und Vorstände haben keine Zeit mehr: Das Gesetz wird noch etwas Zeit brauchen, die Umsetzung im Betrieb aber auch. Zusammenfassend sollten sich betroffene Unternehmen hierauf einstellen:

  1. Informationspflicht:
    • Nachweis der Einhaltung eines Mindestniveaus an IT-Sicherheit: § 34 in Verbindung mit §§ 28 und 30 BSIG-E .
    • Meldung erheblicher Sicherheitsvorfälle: § 31 in Verbindung mit § 28 BSIG-E .
  2. Risikomanagementmaßnahmen:
    • Geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zur Vermeidung von Störungen und Minimierung der Auswirkungen von Sicherheitsvorfällen sind zu treffen – und zu dokumentieren: § 30 Absätze 1 und 2 BSIG-E .
  3. Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen:
    • Geschäftsleitungen sind verpflichtet, die Risikomanagementmaßnahmen zu billigen und deren Umsetzung zu überwachen: § 38 BSIG-E .
  4. Besondere Anforderungen für Betreiber kritischer Anlagen:
    • Einsatz von Systemen zur Angriffserkennung: § 31 Absatz 2 BSIG-E .
  5. Meldepflichten:
    • Meldepflicht von Sicherheitsvorfällen: § 32 BSIG-E .
  6. Registrierungspflicht:
    • Besondere Registrierungspflicht für bestimmte Einrichtungsarten: § 34 BSIG-E .
  7. Unterrichtungspflichten:
    • Im Fall eines erheblichen Sicherheitsvorfalls kann das Bundesamt Anweisungen geben, die Empfänger ihrer Dienste über den Vorfall zu unterrichten: § 35 BSIG-E .
  8. Aufsichts- und Durchsetzungsmaßnahmen:
    • Das Bundesamt kann Audits, Prüfungen oder Zertifizierungen zur Prüfung der Erfüllung der Anforderungen anordnen: § 64 BSIG-E .
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Tags: Datenschutz , DNS , DSGVO , geschäftsführer , Insolvenz , Richtlinie
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht / Technologierecht - ergänzt um Arbeitsrecht.

Rückruf vereinbaren