überprüfung tom ransomware trojaner NIS-2 BSIG NIS2UmsuCG

NIS-2 – ein neues Gesetz und to-dos im Bereich der IT-Sicherheit

/von

Die Cyber- und Computerkriminalität bedroht IT-Systeme weltweit von Jahr zu Jahr immer stärker. Auch in Deutschland nehmen die Angriffe stetig zu.

Nach Angaben der Statista GmbH (Statista) sind im Jahr 2022 über 21 Millionen Menschen bundesweit Opfer eines Cyberangriffs geworden, wobei der überwiegende Anteil der Straftaten laut Statista Betrugsdelikte waren, bei denen sogenannte „Phishing-Angriffe“ stattfanden. Bei solchen Angriffen versuchen Hacker*innen sich über gefälschte Webseiten oder präparierte E-Mails Zugriff auf sensible Daten von Internetnutzern zu verschaffen. Beliebtes Ziel der Attacken sind beispielsweise Zugangsdaten zu Bankkonten oder anderen Zahlungssystemen.

Betroffen sind dabei nicht nur Privatpersonen, sondern auch Unternehmen. Nach Schätzungen der Statista GmbH belief sich der Gesamtschaden in Folge von Cyberangriffen im Jahr 2023 bei deutschen Unternehmen auf rund 206 Milliarden Euro. Nur zum Vergleich: Die gesamten (Soll-)Ausgaben des Bundeshaushalts im Haushaltsjahr 2024 beliefen sich nach Informationen des Bundesministeriums für Finanzen (BMF) auf 476,8 Milliarden Euro.

Um sich vor Cyberkriminalität zu schützen, setzen Unternehmen technische und organisatorische Sicherheitsmaßnahmen um und viele schließen für den Fall eines Schadens Cyber-Versicherungen ab.

Die Gefahr, die von Cyberangriffen ausgeht, wurde auch auf europäischer Ebene erkannt. So wurde im Jahr 2023 durch den europäischen Gesetzgeber die sogenannte NIS-2-Richtlinie beschlossen, welche gemäß Art. 41 der NIS-2-Richtlinie bis zum 17.10.2024 von den Mitgliedstaaten der EU und somit auch von Deutschland umgesetzt werden muss.

Die NIS-2-Richtlinie soll für ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union sorgen und ist Teil eines ganzen Bündels an Gesetzen, die sich mit dem Thema Cybersicherheit beschäftigen, z.B. die DSGVO, Cybersecurity Act, KI-Verordnung, Cyber Resilience Act, DORA (EU) 2022/2554 und eine Reihe weiterer Normen.

Doch wer ist von der NIS-2-Gesetzgebung betroffen und welche Maßnahmen wären durch diejenigen Stellen/Einrichtungen, die betroffen sind, gegebenenfalls neben den bereits im Zusammenhang mit der Umsetzung der DSGVO getroffenen Maßnahmen, umzusetzen? Auf diese und einige andere wichtige Fragen in diesem Zusammenhang möchten wir im Folgenden eingehen.

Zum (aktuellen) Stand des nationalen Gesetzgebungsverfahrens

Vorab ist festzustellen, dass zum aktuellen Zeitpunkt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), ein Änderungsgesetzt, bei dem insbesondere das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) neu gefasst wird, noch nicht erlassen ist. Es liegt lediglich im Entwurf vor und wurde Stand heute (11.09.2024) noch nicht verabschiedet. Die zuständige Behörde im Rahmen des laufenden Gesetzgebungsverfahrens ist das Bundesministerium des Innern und für Heimat (BMI). Auf seiner Seite informiert das BMI hier über den Umsetzungsstand der NIS-2-Richtlinie und stellt den am 24.07.2024 verabschiedeten Regierungsentwurf per direktem Link hier zum Download bereit.

Da das Gesetz noch nicht verabschiedet wurde, kann man sich zu den daraus entstehenden Pflichten aus dem neu gefassten BSIG zwar nicht abschließend äußern. Allerdings ist anhand des Entwurfs zu erkennen, in welche Richtung nun die Reise gehen wird. Kontroverse Diskussionen zu den einzelnen Punkten sind derzeit nicht zu beobachten, sodass auch nicht davon auszugehen ist, dass das später verabschiedete Gesetz signifikant vom derzeitigen Entwurf abweichen wird. Es lohnt sich also, sich bereits jetzt mit den Regelungen des Entwurfs des neuen BSIG (BSIG-E) zu beschäftigen und die Zeit bis zum Inkrafttreten des Gesetzes zu nutzen. Denn die wesentlichen Pflichten sind bereits jetzt klar und mit Inkrafttreten der Regelungen des neuen BSIG ist voraussichtlich Anfang 2025 zu rechnen.

Nun, welche Pflichten kommen auf betroffene Unternehmen gemäß dem BSIG-E aller Voraussicht nach zu?

Betroffenheitsprüfung

Die betroffenen Unternehmen haben selbständig zu überprüfen, inwiefern sie die Vorgaben des BSIG in der neuen Fassung zu erfüllen haben, denn sie erhalten hierzu keine Aufforderung seitens der zuständigen Aufsichtsbehörde – des BSI (hierzu vgl. § 28 BSIG-E). Das BSI erleichtert den Betroffenen jedoch die Arbeit, indem es ein Online-Tool zur Verfügung stellt, welches eine automatisierte Ersteinschätzung ermöglicht, ob ein Unternehmen von der NIS-2-Richtlinie betroffen ist. In graphischer Form gibt es den Entscheidungsbaum des BSI zur NIS-2-Betroffenheitsprüfung hier (siehe hierzu auch Anlage 1 und 2 zum BSIG-E auf S. 72 ff.).

Zu beachten ist jedoch, dass die Betroffenheitsprüfung des BSI lediglich als Orientierungshilfe zu verstehen ist und ihr Ergebnis rechtlich nicht bindend ist. Zudem gilt die Betroffenenprüfung des BSI nicht für Einrichtungen der Bundes-, Landes- und der Kommunalverwaltung, denn hier gelten diverse Ausnahmeregelungen gemäß § 29 BSIG-E.

Pflichten für betroffene Unternehmen nach dem BSIG-E

Sofern im Rahmen der Betroffenheitsprüfung festgestellt wurde, dass ein Unternehmen die Vorgaben des BSIG in der neuen Fassung zu erfüllen hat, kommen auf das jeweilige Unternehmen umfangreiche Pflichten zu. Hervorzuheben wären unseres Erachtens die Folgenden:

  • Betreiber von besonders wichtigen und wichtigen Einrichtungen (diese Unterscheidung in wichtige und besonders wichtige Einrichtungen wird im BSIG-E explizit getroffen) haben gemäß § 30 BSIG-E Risikomanagementmaßnahmen verpflichtend einzuführen. Die jeweiligen Maßnahmen, deren Umsetzung verpflichtend ist, sind an Mindeststandards gebunden. Diese werden in § 30 Abs. 2 BSIG-E einzeln aufgezählt.
  • Betreiber von kritischen Anlagen haben gemäß § 31 BSIG-E haben besondere Anforderungen an die Risikomanagementmaßnahmen zu erfüllen, die über die Maßnahmen des Katalogs des § 30 Abs. 2 BSIG-E hinausgehen. So haben Betreiber kritischer Anlagen gemäß § 31 Abs. 2 BSIG-E „Systeme zur Angriffserkennung einzusetzen. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.“
  • Gemäß § 32 des BSIG-E bestehen Meldepflichten im Fall eines Sicherheitsvorfalls. Dabei ist die Frist für eine frühe Erstmeldung eines erheblichen Sicherheitsvorfalls auf lediglich 24 Stunden begrenzt. Anschließend hat innerhalb weiterer 48 Stunden (insgesamt 72 Stunden nach Kenntniserlangung) eine weitere (ausführliche) Meldung zum Vorfall zu erfolgen. Nach einem Monat besteht eine weitere Meldepflicht, die als Abschlussmeldung weitere Informationen, die in § 32 Abs. 1 Nr. 4 des BSIG-E aufgezählt werden, enthalten muss.

    Hier sieht man, dass die Meldepflichten nach dem BSIG-E deutliche strenger sind, als die entsprechenden Meldepflichten nach Art. 33 DSGVO. Denn die DSGVO kennt weder eine frühe Erstmeldung innerhalb von 24 Stunden noch eine Abschlussmeldung nach einem Monat. Hier müssen die entsprechenden Meldeprozesse im Fall einer Meldung eines Sicherheitsvorfalls erweitert und angepasst werden.

  • Gemäß den §§ 33 und 34 BSIG-E gelten für besonders wichtige Einrichtungen und wichtige Einrichtungen sowie Domain-Name-Registry-Diensteanbieter und besondere in § 60 BSIG-E genannte Einrichtungen Registrierungspflichten. Hier müssten betroffene Unternehmen eine Reihe an Angaben an das BSI übermitteln. Dabei ist zu beachten, spätere Änderungen ebenfalls fristgerecht zu melden sind (innerhalb von drei Monaten).
  • Gemäß § 35 BSIG-E bestehen für besonders wichtige Einrichtungen und wichtige Einrichtungen (siehe hierzu § 35 Abs. 1 BSIG-E) und Einrichtungen aus bestimmten Sektoren (Finanzwesen, Sozialversicherungsträger sowie Grundsicherung für Arbeitssuchende, digitale Infrastruktur, Verwaltung von IKT-Diensten und Digitale Dienste, vgl. hierzu § 35 Abs. 2 BSIG-E) Unterrichtungspflichten gegenüber Dienstempfängern im Fall von erheblichen Sicherheitsvorfällen.

    Den potenziell von einer erheblichen Cyberbedrohung betroffenen Dienstempfängern und dem Bundesamt sind unverzüglich alle Maßnahmen oder Abhilfemaßnahmen mitzuteilen, die die Dienstempfänger als Reaktion auf die Bedrohung ergreifen können.

  • Gemäß § 38 BSIG-E besteht für die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen eine Umsetzungs- und Überwachungspflicht der in § 30 BSIG-E vorgesehenen Risikomanagementmaßnahmen (siehe oben), für deren Verletzung die Geschäftsleitung bei einem schuldhaft verursachten Schaden nach den Regeln des Gesellschaftsrechts haftet (sofern es keine abweichenden gesellschaftsrechtlichen Bestimmungen bzgl. der Haftungsregelung gibt).

    Zudem besteht für die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen gemäß § 38 Abs. 3 BSIG-E die Pflicht, regelmäßig an Schulungen teilzunehmen (Schulungspflicht), „um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.“

Insbesondere die Schulungspflicht ist in der vorhandenen Form etwas Neues, denn so etwas gibt es beispielsweise in der DSGVO für die Geschäftsleitungen in dieser expliziten Form nicht. Gemäß dem neuen BSIG müssten Schulungsmaßnahmen zur Vermittlung ausreichender Kenntnisse im Bereich der IT-Sicherheit für die Geschäftsleitung vorgesehen und nachweisbar durchgeführt werden.

Was droht bei Nichtbeachtung der Vorgaben des neuen BSIG?

Die zuständige Aufsicht, das BSI, kann nicht nur Anordnungen treffen, sondern insbesondere Zwangsgelder bis zu 100.000 EUR verhängen (siehe § 63 BSIG-E), natürlichen Personen die Ausübung von Leitungsaufgaben vorübergehend untersagen (siehe §  61 Abs. 9 Nr. 2 BSIG-E) oder aber auch Bußgelder verhängen (siehe § 65 BSIG-E i.V.m. Art. 34 NIS-2-Richtlinie).

Wobei in Anlehnung an die Bußgelder, die bei Verstößen gegen die DSGVO verhängt werden, auch für Bußgelder bei Verstößen gegen das BSIG-E gemäß Art. 34 NIS-2-Richtlinie gilt, dass diese wirksam, angemessen und abschreckend sein sollen. Bei besonders wichtigen Einrichtungen werden daher gemäß § 65 BSIG-E Bußgelder von bis zu 10 Mio. € oder – wenn mehr als 500 Mio. € Jahresumsatz erwirtschaftet werden – bis zu 2% des weltweiten Jahresumsatzes als Bußgeld möglich sein. Bei wichtigen Einrichtungen werden bis zu 7 Mio. € oder – wenn mehr als 500 Mio. € Jahresumsatz vorliegen – bis zu 1,4% des weltweiten Jahresumsatzes als Maximalbußgeld verhängt werden können.

Zu beachten ist jedoch, dass keine Doppelbestrafung erfolgen darf, denn sofern eine Datenschutzaufsichtsbehörde ein Bußgeld verhängt hat, so bleibt es bei dem bereits verhängten Bußgeld. Weitere Bußgelder dürfen durch das BSI nicht mehr verhängt werden, wenn die zuständige Datenschutzaufsichtsbehörde schon eines für den Vorfall verhängt hat (vgl. § 65 Abs. 10 BSIG-E).

Fazit

Die NIS 2-RL wird aller Voraussicht nach nicht vor Ablauf der Umsetzungsfrist (bis zum 17.10.2024) in deutsches Recht umgesetzt werden. Es ist dabei jedoch zu beachten, dass es für den deutschen Gesetzgeber nicht erlaubt sein wird, eine „Schonfrist“ im neuen BSIG zu definieren. Das bedeutet, dass die Vorgaben des neuen BSIG nach dessen Inkrafttreten sehr zügig umgesetzt werden müssen.

Insbesondere deshalb heißt es für Sie, sofern Ihr Unternehmen die neuen gesetzlichen Vorgaben erfüllen muss: Handeln Sie jetzt und stellen Sie sich auf die neue Gesetzeslage ein, indem Sie vor allem:

  • Festlegungen bezüglich der internen Zuständigkeiten treffen auch und insbesondere hinsichtlich der Beobachtung von möglichen Anpassungen / Änderungen im Gesetzgebungsverfahren,
  • Den IST-Zustand Ihrer IT-Sicherheit erheben und bewerten,
  • Einführung fehlender, Anpassung bestehender technischer und organisatorischen Maßnahmen im Bereich der IT-Sicherheit planen und durchführen.

Sofern Ihr Unternehmen keine Niederlassung in der Europäischen Union (EU) hat jedoch Dienste innerhalb der Europäischen Union anbietet, so müssten Sie daran denken, dass sie gemäß § 60 Abs. 3 BSIG-E verpflichtet werden, einen Vertreter in der EU zu benennen und dieser Verpflichtung nachkommen.