NIS-2: BSI soll in Zukunft Geschäftsführungen entmachten können
01.09.2023
01.09.2023
Autor*in: Robert Nagel
Robert schreibt für Everphone zu sämtlichen Themen rund um Unternehmen, Produkt und Geräte.
Inhaltsverzeichnis

Die „EU-Netzwerk- und Informationssicherheitsrichtlinie“ (NIS-2) muss bis zum Jahresende 2024 in deutsches Recht überführt werden. Sprich: Es braucht bis dann ein deutsches Gesetz zur Umsetzung der Richtlinie. 

Für das entsprechend phantasievoll benannte „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) liegt aus dem Innenministerium nun der zweite Entwurf vor – mit weitreichenden Durchgriffsmöglichkeiten für das Bundesamt für Sicherheit in der Informationstechnik (BSI). 

29.000 statt 4.500 betroffene Unternehmen

Mit der neuen Richtlinie wird die Anzahl der betroffenen deutschen Unternehmen versechsfacht: 29.000 Unternehmen werden mit der NIS-2-Richtlinie strenge Vorgaben für Cyber-Security erfüllen müssen. 

Bislang waren „nur“ 4.500 deutsche Unternehmen gegenüber dem BSI meldepflichtig. Zu den Pflichten gehören unter anderem Meldungen bei Sicherheitsvorfällen, Risikomanagement und technische Maßnahmen. 

Das Gesetz teilt die Unternehmen in zwei Hauptgruppen ein: 

  1. Betreiber kritischer Anlagen sowie
  2. „besonders wichtige“ und „wichtige“ Unternehmen, welche der Größe nach weiter unterschieden werden.
    • Mittlere Unternehmen
      bis 249 Mitarbeiter*innen und Umsatz < 50 Mio. Euro bzw.
      bis 249 Mitarbeiter*innen und Bilanz < 43 Mio. Euro
      oder
      bis 49 Mitarbeiter*innen und Umsatz 10-50 Mio. Umsatz bzw.
      bis 49 Mitarbeiter*innen und Bilanz ab 43 Mio. Euro)
    • Großunternehmen
      ab 250 Mitarbeiter*innen
      oder
      Umsatz > 50 Mio. Euro und Bilanz > 43 Mio. Euro

Zu den Unternehmen gehören zum Beispiel Wasser- und Energieversorger, Logistikunternehmen, Versicherungen, Banken und Telekommunikationsanbieter. Auch „qualifizierte Vertrauensdienste“, Top-Level-Domain-Registrys und DNS-Dienste gehören dazu, bei den wichtigen Unternehmen auch Transport- und Verkehrswesen, Gesundheitswesen, verarbeitendes Gewerbe, digitale Dienste, Rüstungsbetriebe und Forschungseinrichtungen.

Erweiterte Befugnisse für das BSI

Für den beabsichtigten Schutz kritischer Unternehmen sieht die Gesetzesnovelle weitreichende Befugnisse des BSI vor.

Klicken Sie auf den unteren Button, um den Inhalt von www.linkedin.com zu laden.

Inhalt laden

Geschäftsführung „besonders wichtiger Einrichtungen“ kann abgesetzt und haftbar gemacht werden

So sieht der Entwurf bei den „Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen“ (§ 64) vor, dass das BSI die Einhaltung der Bestimmungen nicht nur überprüfen darf, sondern in Bezug auf präventive und repressive Maßnahmen auch weisungsbefugt ist. 

Und nicht nur das: Das BSI kann auch anweisen, bei Cyberbedrohungen nicht nur die betroffenen Kunden zu benachrichtigen, sondern diese auch zu veröffentlichen (§ 64 Abs. 4). 

Abs. 6 legt sogar fest, dass die Geschäftsführung entmachtet werden kann, wenn sie BSI-Anordnungen nicht fristgerecht nachkommt: 

„Sofern besonders wichtige Einrichtungen den Anordnungen des Bundesamtes nach diesem Gesetz trotz Fristsetzung nicht nachkommen, kann das Bundesamt die jeweils zuständige Aufsichtsbehörde des Bundes auffordern, [erstens] die Genehmigung für einen Teil oder alle Dienste oder Tätigkeiten dieser Einrichtung vorübergehend auszusetzen [und zweitens] den natürlichen Personen, die als Geschäftsführung oder gesetzliche Vertreter für Leitungsaufgaben in der besonders wichtigen Einrichtung zuständig sind, die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen.“

NIS2UmsuCG-Entwurf (Juli 2023), § 64 Abs. 6

Die EU-Richtlinie sieht zudem vor, dass Führungskräfte bei Verstößen mit Geldbußen von bis zu zwei Prozent des Jahresumsatzes persönlich haftbar gemacht werden können.

Firmen sollten sich jetzt auf NIS-2 vorbereiten

Um es nicht zu einem solchen Eingriff des BSI in die Geschäftstätigkeit einer Organisation kommen zu lassen, empfiehlt es sich dringend, sich auf die Anforderungen der NIS-2-Richtlinie rechtzeitig vorzubereiten. 

Die Kosten für die Umsetzung der entsprechenden Maßnahmen werden für die erwähnten 29.000 Unternehmen in Deutschland mit rund 1,65 Milliarden Euro jährlich taxiert. Für die Einführung und Anpassung der entsprechenden Prozesse erwartet das Innenministerium zusätzliche Einmalkosten von rund 1,37 Milliarden Euro.

Weblinks

Bleib' in Verbindung

Mit unserem Newsletter bekommst du die neuesten Informationen über mobile Arbeit und mobile Geräte in deinen Posteingang. Abonniere ihn hier und wir halten dich auf dem Laufenden. Du kannst uns auch auf unseren Social-Media-Kanälen folgen, um weitere Einblicke und Updates zu Everphone zu erhalten.

Aufzeichnungen: Webinarreihe mit Ivanti und Lenovo
Green-Future-Best-Practices-Award der Deutschen Telekom
Everphone gewinnt 2024 den Green-Future-Best-Practices-Award der Deutschen Telekom
„Wir sind die Umstürzler in einer 40 Jahre alten Branche“ – Falk Sonnenschmidt, CRO bei Everphone

Unsere meistgelesenen Artikel

Bring your own Device 2022 – ein Modell mit Zukunft?

Everphone – die Gründungsgeschichte

Everphone wird offizieller Device-as-a-Service-Partner von Samsung

Everphone sammelt 200 Millionen Dollar in Series C ein

Nachhaltige Handys: Fairphone 3+ jetzt als Firmenhandy verfügbar

Android 13 – das ist neu bei „Tiramisu“