NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Zur Umsetzung der NIS2-Richtlinie liegt inzwischen der Referentenentwurf eines Gesetzes zur Umsetzung der NIS-2- und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz –
NIS2UmsuCG) vor.

Es zeichnet sich ab, dass das BSI-Gesetz sich verändern wird: Ursprünglich angetreten, um die Kompetenzen und Maßnahmen des BSI zu regeln, wandelt es sich immer mehr zu Cybersicherheits-Regelungswerk. Dies war mit dem IT-Sicherheitsgesetz schon absehbar, wurde mit dem IT-Sicherheitsgesetz 2.0 aufgebaut und wird nun auf ein vollkommen neues Level gehoben. Insbesondere die Privatwirtschaft muss sich warm anziehen.

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz: Ausbau des BSI-Gesetzes

Das BSI-Gesetz kommt derzeit in der Nummerierung bis §15, freilich haben einige Paragrafen mehrere Buchstaben, sodass es insgesamt etwas mehr Normen sind. Gleichwohl sagt es etwas aus, wenn man indessen sieht, dass die Nummerierung zukünftig über §60 BSIG hinausgehen soll – dass ein solcher Umfang auch Auswirkungen auf den Alltag hat, drängt sich auf.

Fachanwalt für IT-Recht Jens Ferner zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Kleinstunternehmen sind (derzeit) sehr stark privilegiert – alle anderen müssen aufpassen. Gegenwärtig ist Cybersicherheit zwar oft „auf der Agenda“, aber es wird mit Ausgaben noch gegeizt – das kann sich zeitnah bitter rächen. Und viele digitale Geschäftsmodelle werden mit diesem Gesetz an ihre Grenzen kommen. Zu Recht.

Kategorisierung von Betreibern

Mit dem Referentenentwurf kommt eine Einteilung wie Folgt:

  • Betreiber kritischer Anlagen: natürliche oder juristische Personen oder eine rechtlich unselbständige Organisationseinheit einer Gebietskörperschaft, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine kritische Anlage in benannten Sektoren ausübt.
  • Besonders wichtige Einrichtungen: Großunternehmen in ausgewählten Sektoren sowie qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter (Grössenunabhängig); ebenso erfasst sind mittlere Unternehmen, die Anbieter von Telekommunikationsdiensten (§3 Nr. 44 TKG) oder öffentlich zugänglichen Telekommunikationsnetzen sind;
  • wichtige Einrichtungen: mittlere Unternehmen in bestimmten Bereichen, was aber wohl weit zu verstehen ist, da u.a. ausdrücklich digitale Infrastruktur, Verwaltung von IKT-Diensten (Business- to-Business) und Anbieter digitaler Dienste erwähnt sind.

Näheres wird im Übrigen über eine Rechtsverordnung geregelt werden, es ist absehbar, dass die bisherige Einteilung bestehen bleiben wird. Wie immer werden Kleinstunternehmer und -Unternehmen privilegiert; gleichwohl ist eine Ausweitung des Anwendungsbereichs festzustellen, mittlere Unternehmen im Sinne des BSIG-E liegen im Bereich der 50 bis 249 Mitarbeiter, wobei die Umsätze ein weiteres Kriterium sind. Gerade in diesem Bereich, wird man sehr genau hinsehen müssen, es ist mit einer starken Ausdehnung des Anwendungsbereichs zu rechnen.

Zu gewährende Mindestsicherheit

Der Gesetzentwurf setzt die Mindestsicherheitsstandards des Artikels 21 der NIS2-Richtlinie vollständig um. Die Intensität der zu treffenden Maßnahmen ist nach Anlagentypen gestaffelt.

Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, verhältnismäßige technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der
informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen auf ihre oder andere Dienste zu verhindern oder möglichst gering zu halten. §30 BSIG-E ist hier die zentrale Norm und sieht als Maßnahmen vor:

  • Schemata zur Risikoanalyse und Sicherheit von Informationssystemen,
  • Incident Management,
  • Aufrechterhaltung des laufenden Betriebs einschließlich Backup-Management und Disaster Recovery sowie Krisenmanagement,
  • Sicherheitsmaßnahmen bei der Beschaffung, Entwicklung und Wartung von IT-Systemen, -Komponenten und -Prozessen, einschließlich Schwachstellenmanagement und Offenlegung,
  • Schemata und Prozesse zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cyber-Sicherheit,
  • grundlegende Cyber-Hygieneprozesse und Cyber-Sicherheitsschulungen,
  • Verfahren und Schemata für die Anwendung von Kryptographie und Verschlüsselung,
  • Personalsicherheit, Schemata für Zugangskontrolle und Ressourcenmanagement,
  • Einsatz von Multi-Faktor- oder End-to-End-Authentifizierungslösungen, sichere Sprach-, Video- und Textkommunikation und gegebenenfalls sichere Notfallkommunikationssysteme innerhalb der Organisation.

IT-Sicherheitsrecht

Beratung im IT-Sicherheitsrecht, rund um Verträge, Haftung und von jemandem der es kann: IT-Fachanwalt und Strafverteidiger Jens Ferner bringt sein Fachwissen mit dem Hintergrund des Softwareentwicklers und Verteidigers von Hackern in Unternehmen ein!

Haftung der Geschäftsleitung

Die geplante Haftung hat es in sich – und geht weit über das hinaus, was viele Geschäftsleiter derzeit erwarten. Zunächst sieht § 38 Abs. 1 BSIG-E vor, dass Geschäftsleiter von besonders wichtigen Einrichtungen und von bedeutenden Unternehmen verpflichtet sind, die von diesen Einrichtungen getroffenen Risikomanagementmaßnahmen (siehe oben, § 30) im Bereich der Cyber-Sicherheit zu genehmigen und deren Umsetzung zu überwachen. Die Beauftragung Dritter zur Erfüllung dieser Pflichten ist nicht zulässig. Geschäftsleiter, die ihre Pflichten hiernach verletzen, haften dem Institut für den entstandenen Schaden, vgl. § 38 Abs. 2 BSIG-E. Als Schaden gelten nach der Gesetzesbegründung übrigens sowohl Regressansprüche als auch Bußgelder!

Soweit vorhersehbar. Es geht aber noch weiter, denn nach § 38 Abs. 3 BSIG-E ist ein Verzicht des Trägers auf Ersatzansprüche ebenso unwirksam wie ein Vergleich des Trägers über solche Ansprüche! Das bedeutet, dass jede Pflichtverletzung unmittelbar zu einer persönlichen, nicht abdingbaren und keinem Vergleich zugänglichen Haftung des Geschäftsführers führt.

Das hat der Gesetzgeber so gewollt: Er sieht eine Ausnahme für den Fall vor, dass der Ersatzpflichtige zahlungsunfähig ist und sich zur Abwendung des Insolvenzverfahrens mit seinen Gläubigern vergleicht oder die Ersatzpflicht in einem Insolvenzplan geregelt ist.

Haftung für IT-Sicherheit

Geschäftsführung ohne und Cybersicherheit funktioniert nicht – Punkt. Und zwar noch nicht jetzt, aber schon zeitnah, wird es existenziell kostspielig für und Vorstände, die Ihre Aufgaben nicht hinreichend wahrnehmen – persönlich! Dabei kann eine Haftung schon jetzt eintreten.

Domaindaten

Es kommt mit den §§51ff. BSIG-E etwas Neues, ein neuer „Datenschatz“ für Ermittler – jedenfalls in dieser Form: Um zur Sicherheit, Stabilität und Robustheit des Domain Name Systems beizutragen, sind Top Level Domain Name Registries und Domain Name Registry Service Providers verpflichtet, genaue und vollständige Registrierungsdaten über Domain-Namen in einer eigenen Datenbank zu sammeln.

Diese Datenbank enthält die erforderlichen Angaben zur Identifizierung und Kontaktaufnahme mit den Inhabern der Domänennamen und den Kontaktstellen, die die Domänennamen im Rahmen der TLD verwalten. Nach dem Gesetz sind dies mindestens Name, E-Mail-Adresse und Telefonnummer, jedoch noch keine Postanschrift.

Fazit

Es war zu lange überfällig, nun kommt der Hammer: Über Jahrzehnte wurden in Deutschland die Kosten der „Digitalisierung“ schöngerechnet durch unpassenden Geiz bei IT-Sicherheit und Datenschutz. Letzteres wurde durch die schon angepackt, wenn auch in der Praxis halbherzig durchgesetzt – jetzt kommt die Cybersicherheit dazu. Die persönliche Haftung wird zu einem Umdenken vieler führen, ebenso zu massiv steigenden Kosten klassischer digitaler Lösungen. Geschäftsführer und Vorstände haben keine Zeit mehr: Das Gesetz wird noch etwas Zeit brauchen, die Umsetzung im Betrieb aber auch.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.