Das Gesetz zur Umsetzung der EU-NIS2-Richtlinie und zur Stärkung der Cybersicherheit befindet sich derzeit in einer fortgeschrittenen Gesetzgebungsphase und wird voraussichtlich bereits im März 2025 in Kraft treten. Es setzt die EU-weiten Cybersicherheitsanforderungen der EU-NIS2-Richtlinie in die deutsche Rechtsordnung um.
Wer ist von der Regelung betroffen?
Die von der NIS2 betroffenen Unternehmen in Deutschland lassen sich in drei Gruppen unterteilen: bestehende Betreiber kritischer Anlagen sowie besonders wichtige und wichtige Einrichtungen.
Als besonders wichtige Einrichtungen gelten Unternehmen, die unter anderem in den Sektoren Energie, Verkehr, Finanzen und digitale Infrastruktur tätig sind, wenn sie 250 oder mehr Mitarbeiter oder einen Umsatz von mehr als 50 Mio. EUR und eine Bilanzsumme von mehr als 43 Mio. EUR haben. Wichtige Einrichtungen sind dagegen Unternehmen in den Sektoren Lebensmittel, Chemie, Abfallwirtschaft und digitale Dienstleister, wenn diese Unternehmen 50 oder mehr Beschäftigte oder einen Umsatz von mehr als 10 Mio. EUR und eine Bilanzsumme von mehr als 10 Mio. EUR haben.
Verpflichtungen für besonders wichtige und wichtige Einrichtungen
Nach § 30 Absatz 1 des Gesetzentwurfs müssen besonders wichtige und bedeutende Einrichtungen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um eine Störung der Verfügbarkeit, Integrität und Vertraulichkeit der Informationssysteme, -komponenten und -prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und die Auswirkungen von Sicherheitsvorfällen zu minimieren.
Bei der Bewertung der Verhältnismäßigkeit der Maßnahmen sollten das Ausmaß der Risikoexposition, die Größe der Organisation, die Kosten der Umsetzung und die Wahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie deren soziale und wirtschaftliche Auswirkungen berücksichtigt werden.
Die Maßnahmen müssen dem Stand der Technik entsprechen, den einschlägigen europäischen und internationalen Normen Rechnung tragen und einen Multi-Risiko-Ansatz aufweisen.
Die Maßnahmen müssen mindestens Folgendes umfassen bzw. gewährleisten:
- Konzepte in Bezug auf die Risikoanalyse und die Sicherheit der Informationstechnik,
- Strategie der Bewältigung von Sicherheitsvorfällen,
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
- Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit der Informationstechnik,
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherter Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherter Notfallkommunikationssysteme innerhalb der Einrichtung.
Meldepflichten
Auf der Grundlage von § 32 Abs. 1 des Gesetzentwurfs sind besonders wichtige und wichtige Einrichtungen verpflichtet, u.a. folgende Informationen an die gemeinsame Meldestelle des Bundesamtes und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe zu übermitteln:
- Einen erheblichen Sicherheitsvorfall unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung zu melden (Frühmeldung). Dabei sollte angegeben werden, ob der Verdacht besteht, dass der Vorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte.
- Einen erheblichen Sicherheitsvorfall unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung zu melden. Die erneuerte Meldung soll dabei die in der Nummer 1 genannten Informationen bestätigen oder aktualisieren sowie eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren beinhalten.
Darüber hinaus sind nach § 33 Abs. 1 des Gesetzentwurfs besonders wichtige und wichtige Einrichtungen verpflichtet, Angaben wie den Namen des Unternehmens, die Anschrift, die Kontaktdaten und die jeweilige Branche zu melden. Diese Angaben sind über das vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe gemeinsam eingerichtete Meldestelle spätestens drei Monate nach der erstmaligen oder erneuten Einstufung als besonders wichtige oder wichtige Einrichtung zu übermitteln.
Verantwortung
Wir empfehlen Ihnen, sich mit den neuen Cybersicherheitsvorschriften genau auseinanderzusetzen, da bei Verstößen Geldbußen von bis zu 10 Millionen Euro drohen.
Darüber hinaus ist zu beachten, dass nicht nur die Unternehmen haften, sondern auch die Geschäftsführung der besonders wichtigen oder wichtigen Einrichtungen, die nach § 38 des Gesetzentwurfs verpflichtet ist, Maßnahmen des Risikomanagements zu implementieren und deren Durchführung zu überwachen. Die Geschäftsführung, die gegen die oben genannten Pflichten verstößt, haftet der Gesellschaft für jeden schuldhaft verursachten Schaden nach den für die Rechtsform des jeweiligen Unternehmens geltenden gesellschaftsrechtlichen Vorschriften.
Grau Rechtsanwälte PartGmbB berät und unterstützt Unternehmen im Bereich des Vertriebsrechts, Arbeitsrechts und Datenschutzes als externer Datenschutzbeauftragter.
Bei weiteren Fragen wenden Sie sich bitte an unsere Kanzlei unter der Telefonnummer +49 (0) 40 180 364 020 oder der E-Mail-Adresse office@graulaw.eu.
