Die Europäische Union verfolgt das Ziel, die unionsweite Cybersicherheit noch weiter zu stärken. Denn Hackerangriffe können nicht nur einen enormen, insbesondere finanziellen Schaden für das einzelne betroffene Unternehmen zur Folge haben, sondern auch volkswirtschaftliche und gesamtgesellschaftliche Schäden verursachen, wenn etwa ein zentraler Internetknotenpunkt aufgrund eines Cyberangriffs ausfällt oder ein Krankenhaus in seinem Betrieb gestört wird. Nicht zuletzt bestehen aber auch Risiken aufgrund von (Wirtschafts-)Spionage, wenn sensible Informationen aufgrund unzureichend geschützter IT-Systeme erlangt werden.
Autor: Dr. Jörg Wünschel, GSK Stockmann
Wenngleich es bereits schon jetzt unionsweite Vorgaben zur Cybersicherheit gibt, so gelten diese dennoch als unzureichend. Aus diesem Grund hat die EU mit der Verabschiedung der Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union („Network-and-Information-Security-Richtlinie 2“/„NIS 2-Richtlinie“) diese Vorgaben nun wesentlich verschärft und ebenso den Kreis der verpflichteten Unternehmen von bislang sieben auf 18 Sektoren erheblich erhöht. Bis zum 17. Oktober 2024 ist die NIS 2-Richtlinie in nationales Recht umzusetzen; die bereits vorliegenden Gesetzgebungsentwürfe übernehmen die nachstehend vorgestellten Vorgaben.
Betroffene Unternehmen
Betroffen von der NIS 2-Richtlinie bzw. von dem entsprechenden Umsetzungsgesetz sind jedenfalls all jene Unternehmen, die mehr als 50 Mitarbeiter beschäftigen, einen Jahresumsatz von mehr als 10 Millionen Euro aufweisen und zu den Sektoren wie verarbeitendes Gewerbe und Warenherstellung, Digitale Dienste und Infrastruktur, Energie, Lebensmittel, Verkehrs- und Gesundheitswesen sowie Post- und Kurierdienste zählen.
Daneben werden – unabhängig von ihrer Größe – Unternehmen auch allein aufgrund ihrer wahrgenommenen Aufgabe bzw. angebotenen Dienstleistung verpflichtet, so etwa bestimmte IT-Dienstleister oder qualifizierte Vertrauensdienste. Darüber hinaus ermächtigt die NIS 2-Richtlinie die EU-Mitgliedsstaaten, den Adressatenkreis um Unternehmen zu erweitern, wenn zu befürchten ist, dass der Ausfall ihrer Dienste zu erheblichen gesamtgesellschaftlichen bzw. gesamtwirtschaftlichen Auswirkungen führt.
Neue Pflichten für die betroffenen Unternehmen
Alle von der NIS 2-Richtlinie erfassten Unternehmen werden zur Ergreifung von technischen, operativen und organisatorischen Maßnahmen verpflichtet, um die Risiken für die Sicherheit ihrer Netz- und Informationssysteme beherrschen und die Auswirkungen von möglichen Sicherheitsvorfällen verhindern oder möglichst gering halten zu können.
Zur Beurteilung, welche Maßnahmen zu ergreifen sind, sind die Eintrittswahrscheinlichkeit eines Sicherheitsvorfalls und dessen potentielle Auswirkungen sowohl auf das Unternehmen als auch auf die Gesellschaft und die Wirtschaft insgesamt zu berücksichtigen. Je größer dieses Risiko und diese Auswirkungen sein können, umso weitreichendere Maßnahmen sind vorzusehen. So haben die betroffenen Unternehmen Maßnahmen zu implementieren – und diese zu dokumentieren –, um Cybersicherheitsrisiken erkennen, verhindern oder jedenfalls bewältigen zu können. Zudem sind die Mitarbeiter im Rahmen von Schulungen gegen Cybersicherheitsrisiken zu sensibilisieren. Begleitet werden die zu treffenden Vorkehrungen von umfassenden Melde- und Berichtspflichten, sollte ein Sicherheitsvorfall eingetreten sein, und – in manchen Fällen – auch von einer proaktiven Nachweispflicht, dass die getroffenen Maßnahmen ausreichend sind. Nicht zuletzt ist ebenso die Sicherheit innerhalb der Lieferkette sicherzustellen.
Neue Pflichten für die Geschäftsleitung
Die Geschäftsleitung der betroffenen Unternehmen wird ihrerseits verpflichtet, das Cybersicherheitsrisikomanagement auf NIS 2-Compliance zu prüfen und dessen Einhaltung stetig zu überwachen. Essentiell wird insofern der konstante und enge Austausch mit den IT-Teams werden, insbesondere weil sich Cyberrisiken beständig ändern und insofern kontinuierliche Anpassungen an das Cybersicherheitsrisikomanagement notwendig werden.
Sanktionen und Haftung
Verstöße gegen die vorgenannten Pflichten sind sanktionsbewehrt. Je nach Einordnung des Unternehmens als wesentliche oder wichtige Einrichtung können neben der Aussetzung der Betriebsgenehmigung auch Geldbußen in Höhe von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes bzw. in Höhe von bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes verhängt werden – stets je nachdem welcher Betrag höher ist.
Neben dem Unternehmen unterliegt auch die Geschäftsleitung selbst der Haftung. Sofern diese ihre – nicht delegierbaren – Pflichten verletzen, haften sie dem Unternehmen persönlich gegenüber auf den entstandenen Schaden. Insbesondere bei Produktionsausfällen besteht insofern ein erhebliches Haftungsrisiko. Weder kann das Unternehmen diese Haftung ausschließen noch auf seine Ansprüche gegenüber der Geschäftsleitung verzichten.
Umsetzung der NIS 2-Richtlinie
Die Bedeutung der NIS 2-Richtlinie und ihre Auswirkungen sind – nicht zuletzt aufgrund der vorgesehenen persönlichen Haftung der Geschäftsleitung – kaum zu unterschätzen.
Zwar hat der deutsche Gesetzgeber noch bis zum 17. Oktober 2024 Zeit, die Richtlinie umzusetzen. Da die zu ergreifenden Maßnahmen aber sehr umfassend sind, sollte bereits frühzeitig damit begonnen werden, die bereits bestehenden Cybersicherheitsmaßnahmen zu sichten, auf NIS 2-Compliance zu überprüfen und Sicherheitslücken zu schließen und insbesondere die NIS 2-Compliance ausführlich zu dokumentieren. Darüber hinaus sind auch die Verträge mit Geschäftspartnern innerhalb einer Lieferkette NIS 2-konform anzupassen. All dies kann erhebliche Kosten verursachen. Noch höhere Kosten dürften jedoch mögliche Geldbußen bei fehlender NIS 2-Compliance verursachen und erst recht ein „erfolgreicher“ Angriff auf die Netzwerk- und Informationssicherheit des Unternehmens.
