Die „EU-Netzwerk- und Informationssicherheitsrichtlinie“ (NIS-2) muss bis zum Jahresende 2024 in deutsches Recht überführt werden. Sprich: Es braucht bis dann ein deutsches Gesetz zur Umsetzung der Richtlinie.
Für das entsprechend phantasievoll benannte „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) liegt aus dem Innenministerium nun der zweite Entwurf vor – mit weitreichenden Durchgriffsmöglichkeiten für das Bundesamt für Sicherheit in der Informationstechnik (BSI).
29.000 statt 4.500 betroffene Unternehmen
Mit der neuen Richtlinie wird die Anzahl der betroffenen deutschen Unternehmen versechsfacht: 29.000 Unternehmen werden mit der NIS-2-Richtlinie strenge Vorgaben für Cyber-Security erfüllen müssen.
Bislang waren „nur“ 4.500 deutsche Unternehmen gegenüber dem BSI meldepflichtig. Zu den Pflichten gehören unter anderem Meldungen bei Sicherheitsvorfällen, Risikomanagement und technische Maßnahmen.
Das Gesetz teilt die Unternehmen in zwei Hauptgruppen ein:
- Betreiber kritischer Anlagen sowie
- „besonders wichtige“ und „wichtige“ Unternehmen, welche der Größe nach weiter unterschieden werden.
- Mittlere Unternehmen
bis 249 Mitarbeiter*innen und Umsatz < 50 Mio. Euro bzw.
bis 249 Mitarbeiter*innen und Bilanz < 43 Mio. Euro
oder
bis 49 Mitarbeiter*innen und Umsatz 10-50 Mio. Umsatz bzw.
bis 49 Mitarbeiter*innen und Bilanz ab 43 Mio. Euro) - Großunternehmen
ab 250 Mitarbeiter*innen
oder
Umsatz > 50 Mio. Euro und Bilanz > 43 Mio. Euro
- Mittlere Unternehmen
Zu den Unternehmen gehören zum Beispiel Wasser- und Energieversorger, Logistikunternehmen, Versicherungen, Banken und Telekommunikationsanbieter. Auch „qualifizierte Vertrauensdienste“, Top-Level-Domain-Registrys und DNS-Dienste gehören dazu, bei den wichtigen Unternehmen auch Transport- und Verkehrswesen, Gesundheitswesen, verarbeitendes Gewerbe, digitale Dienste, Rüstungsbetriebe und Forschungseinrichtungen.
Erweiterte Befugnisse für das BSI
Für den beabsichtigten Schutz kritischer Unternehmen sieht die Gesetzesnovelle weitreichende Befugnisse des BSI vor.
Klicken Sie auf den unteren Button, um den Inhalt von www.linkedin.com zu laden.
Geschäftsführung „besonders wichtiger Einrichtungen“ kann abgesetzt und haftbar gemacht werden
So sieht der Entwurf bei den „Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen“ (§ 64) vor, dass das BSI die Einhaltung der Bestimmungen nicht nur überprüfen darf, sondern in Bezug auf präventive und repressive Maßnahmen auch weisungsbefugt ist.
Und nicht nur das: Das BSI kann auch anweisen, bei Cyberbedrohungen nicht nur die betroffenen Kunden zu benachrichtigen, sondern diese auch zu veröffentlichen (§ 64 Abs. 4).
Abs. 6 legt sogar fest, dass die Geschäftsführung entmachtet werden kann, wenn sie BSI-Anordnungen nicht fristgerecht nachkommt:
„Sofern besonders wichtige Einrichtungen den Anordnungen des Bundesamtes nach diesem Gesetz trotz Fristsetzung nicht nachkommen, kann das Bundesamt die jeweils zuständige Aufsichtsbehörde des Bundes auffordern, [erstens] die Genehmigung für einen Teil oder alle Dienste oder Tätigkeiten dieser Einrichtung vorübergehend auszusetzen [und zweitens] den natürlichen Personen, die als Geschäftsführung oder gesetzliche Vertreter für Leitungsaufgaben in der besonders wichtigen Einrichtung zuständig sind, die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen.“
NIS2UmsuCG-Entwurf (Juli 2023), § 64 Abs. 6
Die EU-Richtlinie sieht zudem vor, dass Führungskräfte bei Verstößen mit Geldbußen von bis zu zwei Prozent des Jahresumsatzes persönlich haftbar gemacht werden können.
Firmen sollten sich jetzt auf NIS-2 vorbereiten
Um es nicht zu einem solchen Eingriff des BSI in die Geschäftstätigkeit einer Organisation kommen zu lassen, empfiehlt es sich dringend, sich auf die Anforderungen der NIS-2-Richtlinie rechtzeitig vorzubereiten.
Die Kosten für die Umsetzung der entsprechenden Maßnahmen werden für die erwähnten 29.000 Unternehmen in Deutschland mit rund 1,65 Milliarden Euro jährlich taxiert. Für die Einführung und Anpassung der entsprechenden Prozesse erwartet das Innenministerium zusätzliche Einmalkosten von rund 1,37 Milliarden Euro.