Telefon-Icon

Wie können wir Ihnen weiterhelfen?

+49 (0) 221 / 97 31 43 - 0

Sie brauchen rechtliche Beratung? Dann rufen Sie uns an für eine unverbindliche und kostenlose Ersteinschätzung. Bundesweit!

info@werner-ri.de

Gerne können Sie uns Ihr rechtliches Anliegen per E-Mail schildern. Sie erhalten zeitnah eine unverbindliche und kostenlose Ersteinschätzung von uns.
Sie sind hier: Startseite / Rechtsnews

NIS-2-Gesetzentwurf: Neue (Mindest-)Sicherheitsanforderungen und neue Haftungsmaßstäbe für Geschäftsführer und Vorstände

Der Regierungsentwurf für das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ liegt auf dem Tisch. Nun hat sich auch der Deutsche Anwaltsverein (DAV) in zwei Stellungnahmen dazu positioniert. Ein Knackpunkt des neuen Gesetzentwurfs ist die interessante Frage der Geschäftsführerhaftung.

In der modernen digitalen Wirtschaft ist Cybersicherheit und Resilienz zentrale Themen und Herausforderungen. Ransomware-Angriffe und Cyberangriffe über ganze Lieferketten – sogenannte Supply-Chain-Angriffe – zählen inzwischen zu den größten Bedrohungen im Bereich der Cybersicherheit. Hinzu kommen Bedrohungen wie Distributed-Denial-of-Service-Attacken (DDoS) oder Cyber-Sabotage-Angriffe, die auch in Folge des russischen Angriffskriegs auf die Ukraine sich jedenfalls in der Anzahl erhöhen.

Cybersicherheit in der ‚Zeitenwende‘

In der Europäischen Union (EU) wurde daher im Jahr 2022 die NIS-2-Richtlinie (Nr. 2022/2555) beschlossen (LINK), um die Cybersicherheit zu erhöhen und europaweit zu harmonisieren. Dabei steht „NIS“ für „Netzwerk- und Informationssicherheit“. Die NIS-2-Richtlinie ist in deutsches Recht zu überführen; dazu ist Deutschland und alle anderen EU-Mitgliedstaaten nach Art. 288 Abs. 3 AEUV verpflichtet. Hierzu hat das Bundesministerium des Innern und für Heimat (BMI) den „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz)“ (nachfolgend NIS-2-Gesetzentwurf genannt) vorgelegt, welchen das Bundeskabinett am 24.07.2024 als Regierungsentwurf beschlossen hat (LINK).

Es handelt sich im Wesentlichen (ca. 70 von über 200 Seiten) um eine Novelle des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz oder BSIG), geregelt in Art. 1 des NIS-2-Gesetzentwurfs (nachfolgend BSIG-E genannt) . Aber auch andere Änderungen sollten nicht unterschätzt werden. Mit dem NIS-2-Gesetzentwurf werden in weiteren 30 Artikeln u.a. folgende anderen Gesetze geändert: Energiewirtschaftsgesetzes (EnWG), Sozialgesetzbuch VI (SGB VI) und Telekommunikationsgesetz (TKG),

Im Kern beinhaltet der NIS-2-Gesetzentwurf folgende Regelungen:

Besonders wichtige Einrichtungen und BSI-Hilfestellungen

Der Kreis der Einrichtungen, für welche verschärfte IT-Anforderungen gelten, wird größer. Bislang kennt das Gesetz nur Kritische Infrastrukturen (KRITIS) nach § 2 Nr. 10 BSIG und digitale Dienste nach § 2 Nr. 11 BSIG sowie sonstige Unternehmen im besonderen öffentlichen Interesse nach § 2 Nr. 14 BSIG. Der neue § 28 Abs. 1 und Abs. 2 BSIG-E im NIS-2-Gesetzentwurf weitet den Kreis der Einrichtungen aus, indem er die Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ einführt.

Nach dem NIS-2-Gesetzentwurf gelten als besonders wichtige Einrichtungen z.B. qualifizierte Vertrauensdienstanbieter (§ 28 Abs. 1 Satz 1 Nr. 2 BSIG-E), Anbieter von Telekommunikationsdiensten mit mindestens 50 Beschäftigten oder einem Jahresumsatz und einer Jahresbilanzsumme von über 10 Mio. € (§ 28 Abs. 1 Satz 1 Nr. 3 BSIG-E). Ebenso erfasst § 28 Abs. 1 Satz 1 Nr. 4 BSIG-E juristische Personen oder Organisationseinheiten von Gebietskörperschaften, die entgeltlich Waren oder Dienstleistungen anbieten, mit mindestens 250 Beschäftigten oder mit einem Jahresumsatz von über 50 Mio. € und einer Jahresbilanzsumme von über 43 Mio. €.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) visualisierte die die Prüfungsvoraussetzungen für die verschiedenen Arten der Einrichtungen und veröffentlichte auf seiner Internetseite (LINK) einen Entscheidungsbaum mit dem Hashtag #nis2know. Damit können Unternehmen prüfen, ob sie zu „wichtigen Einrichtungen“ und zu „besonders wichtigen Einrichtungen“ gehören oder von NIS-2-Richtlinie nicht erfasst ist. Ferner findet sich auf dieser Internetseite eine browserbasierte Software „Orientierungshilfe NIS-2-Betroffenheitsprüfung.

Wichtige Einrichtungen

Vertrauensdiensteanbieter, Telekommunikationsanbieter mit unter 50 Beschäftigen und einem Jahresumsatz und einer Jahresbilanzsumme von maximal 10 Mio. € sowie Organisationseinheiten von Gebietskörperschaften gelten nach § 28 Abs. 2 Satz 1 BSIG-E als wichtige Einrichtungen. Ausgenommen sind hier nach § 28 Abs. 2 Satz 2 BSIG-E besonders wichtige Einrichtungen und Einrichtungen der Bundesverwaltung. Das gilt auch dann, wenn sie gleichzeitig KRITIS-Anlagen betreiben.

NIS-2-Anhänge und BSIG-Anlagen

Die NIS-2-Richtlinie sieht in Anhang I „Sektoren mit hoher Kritikalität“ vor. Diese Sektoren übernimmt der NIS-2-Gesetzentwurf in der der Anlage 1 „Sektoren besonders wichtiger und wichtiger Einrichtungen“. Hierzu zählen folgende Sektoren: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Wasser, Informationstechnik (IT) und Telekommunikation (TK) sowie Weltraum. Die Sektoren sind unterteilt in Branchen, welche wiederum in Einrichtungsarten aufgegliedert sind.

Die NIS-2-Richtlinie sieht in Anhang II „Sonstige kritische Sektoren“ vor. Diese Sektoren übernimmt der NIS-2-Gesetzentwurf in der der Anlage 2 „Sektoren wichtiger Einrichtungen“. Hierzu zählen folgende Sektoren: Transport und Verkehr, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste sowie Forschung. Die Sektoren sind auch hier unterteilt in Branchen, welche wiederum in Einrichtungsarten aufgegliedert sind.

Das Verhältnis der Anlagen wird in § 28 BSIG-E beschrieben: Die in Anlage 1 genannten Einrichtungen können sowohl wichtige Einrichtungen als auch besonders wichtige Einrichtungen sei, je nachdem, ob die Voraussetzungen des § 28 Abs. 1 oder Abs. 2 BSIG-E erfüllt.

Nach der Gesetzesbegründung werden in Deutschland künftig rund 8.250 Unternehmen als besonders wichtige und rund 21.600 Unternehmen als wichtige Einrichtungen zu klassifizieren sein.

Ausnahme für bestimmte öffentliche Einrichtungen

Ausgenommen davon sind nach § 28 Abs. 1 Satz 2 BSIG-E die Einrichtungen der Bundesverwaltung, sofern sie nicht gleichzeitig KRITIS-Anlagen betreiben. Einrichtungen der Bundesverwaltung sind nach § 29 Abs. 1 Satz 1 BSIG-E Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie ihre Vereinigungen, ungeachtet ihrer Rechtsform, auf Bundesebene. Institutionen der sozialen Sicherung, berufsständische Körperschaften des öffentlichen Rechts sowie Industrie- und Handelskammern (IHK) sind nach § 29 Abs. 1 Satz 2 BSIG-E ausgenommen. Sie können mithin besonders wichtige Einrichtungen nach § 28 Abs. 1 Satz 1 BSIG-E sein.

Katalog der Mindestsicherheitsanforderungen

Art. 21 Abs. 2 NIS-2-Richtlinie enthält einen Katalog von Mindestsicherheitsanforderungen, der für alle EU-Mitgliedsstaaten gilt. Das BMI hat diesen Katalog in § 30 Abs. 2 BSIG-E übernommen. Der Katalog beinhaltet folgende Maßnahmen:

- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

Geschäftsführerhaftung

Art. 20 NIS-2-Richtlinie („Governance“) nimmt „Leitungsorgane“, wozu v.a. Geschäftsführer (einer GmbH oder einer UG) und Vorstände (einer AG oder eines Vereins) gehören, besonders in Haftung. Was die Umsetzung der Richtlinie betrifft, gibt diese Deutschland vor, sicherzustellen,

 „dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die von diesen Einrichtungen zur Einhaltung von Artikel 21, [Risikomanagementmaßnahmen im Bereich der Cybersicherheit‘] ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen, ihre Umsetzung überwachen und für Verstöße […] verantwortlich gemacht werden können“.

Derzeit wird die Frage der Geschäftsführerhaftung in § 38 Abs. 1 BSIG-E so geregelt:

„Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.“

Hierzu gibt der DAV (Stellungnahme 35/2024 im Mai 2024, LINK) Folgendes zu bedenken: Zweifelsohne gehören die Implementierung und Überwachung der Themen der Cybersicherheit zu den Pflichten der Geschäftsleiter. Die Regelung sei aber zum einen entbehrlich, weil sich diese Pflichten ohnehin aus den Sorgfaltspflichten ergäben. Zum anderen sei die Regelung „missweisend“. Sie verpflichtet nur Geschäftsleiter von besonders wichtigen Einrichtungen und wichtigen Einrichtungen. Man könnte also denken, dass die Geschäftsleiter anderer Einrichtungen diese Pflicht nicht hätten – dies sei falsch. Es bleibt abzuwarten, ob der Gesetzgeber diese Hinweise berücksichtigt oder sogar das Wording anpasst.

Ein Verzicht einer Einrichtung auf Ersatzansprüche aufgrund einer Verletzung dieser Pflichten oder ein Vergleich, der in einem „groben Missverhältnis zu einer bestehenden Ungewissheit über das Rechtsverhältnis“ steht, sind unwirksam (§ 38 Abs. 2 Satz 1 BSIG-E). Hier weist der DAV in seiner Stellungnahme insbesondere auf die Rechtsunsicherheiten, denen Vergleiche aufgrund einer solchen Regelung ausgesetzt wären, obwohl die Vergleiche gerade für schnelle Rechtssicherheit ohne Prozesse führen sollen. Auch D&O-Versicherungen könnten aufgrund eines solchen Gesetzeswortlautes keine Vergleichszahlungen mehr leisten, weil der Versicherungsfall mit einer Zahlung ja gerade nicht verbindlich abgeschlossen wäre.

Nach § 38 Abs. 3 BSIG-E müssen Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der IT-Sicherheit zu erwerben (§ 38 Abs. 3 BSIG-E). Hier weist der DAV u.a. darauf hin, dass unklar bleibt, ob bei mehreren Geschäftsführern alle dieser Schulungspflicht unterliegen oder diejenige/derjenige aus der Geschäftsleitungen unterliegt, wer auch das entsprechende Ressort verantwortet, also z.B. der CTO.

Knackpunkt Cloud-Anbieter

Der Arbeitskreis Informationsrecht des DAV begrüßt (in seiner Stellungnahme 37/2024 aus Mai 2024, LINK) die Umsetzung im NIS-2-Gesetzentwurf, regt aber, dass Cloud-Anbieter deutlicher in die Pflicht genommen werden, weil ein Großteil der KRITIS-relevanten Unternehmen diese Anbieter nutze. Derzeit nimmt der NIS-2-Gesetzentwurf regemäßig die Hersteller von IT-Systemen in den Fokus, nicht aber sonstige Anbieter von IT-Systemen, insbesondere Cloud-Anbieter. Nach dem Gesetzentwurf sollen nur Telekommunikationsprovider als „besonders wichtige Einrichtung“ im Sinne von § 28 Abs. 1 Nr. 3 BSIG-E gelten. Cloud-Dienstleister und Rechenzentrumsdienstleister werden als besonders wichtige Einrichtungen erfasst, allerdings erst, wenn sie mindestens 250 Mitarbeiter oder einen Jahresumsatz von über 50 Mio. € und eine Jahresbilanzsumme von über 43 Mio. € aufweisen (§ 28 Abs. 1 Nr. 4 i.V.m. Anlage I, lit. 6.1.4 BSIG-E).

Auslagerung von Datenverarbeitung (IT-Outsourcing)

Außerdem will der DAV Auslagerungsunternehmen entweder selbst in die Pflicht nehmen und wie bei der Auftragsdatenverarbeitung in der Datenschutz-Grundverordnung (DS-GVO) vertraglich zu Sicherheits- und Vorsorgemaßnahmen verpflichten oder den jeweiligen Auftraggeber verpflichten. Solche Auslagerungsunternehmen können sein: Cloud-Anbieter, Rechenzentren, Provider und sonstige Unternehmen, an die ein Outsourcing von IT-Dienstleistungen erfolgt.

Der DAV wünscht sich eine direkte Regulierung dieser Auslagerungsunternehmen jedenfalls für Fälle, in denen das Auslagerungsunternehmen seine IT-Dienstleistung Unternehmen zur Verfügung stellt, die Teil der Kritischen Infrastruktur sind. Darunter fallen nach der Definition des BSI „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“.

Verpflichtungen für Auslagerungsunternehmen

Nach Ansicht des DAV soll bei dieser Art von Auslagerungsunternehmen die gesetzliche Pflicht bestehen, dass das Auslagerungsunternehmen vertraglich bestimmte Rechte und Pflichten übernimmt – an Stelle des Unternehmens, das Teil der Kritischen Infrastruktur ist. Dies soll das Risiko der Auslagerung von Datenverarbeitung besser absichern und im Regressfall einen direkten Durchgriff gegenüber einem Auftraggeber ermöglichen.

Eine ähnliche Verpflichtung sieht auch Art. 28 der DS-GVO („Auftragsverarbeitung“) vor. Danach muss eine Auftragsdatenverarbeitung „auf der Grundlage eines Vertrages“ erfolgen, der „den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet“ (Art. 28 Abs. 3 Satz 1 DS-GVO). Eine solche Regelung existiert daneben auch in § 32 Versicherungsaufsichtsgesetz („Ausgliederung“) sowie § 25b Abs. 3 Satz 3 Kreditwesengesetz (KWG) („Auslagerung von Aktivitäten und Prozessen; Verordnungsermächtigung“). Ab Januar 2025 gelten für Finanzunternehmen noch weitaus strengere Regelungen. Nach Art. 30 DORA müssen Finanzunternehmen mit den IKT-Drittdienstleistern ausführliche Verträge mit bestimmten Mindestvertragsinhalten abschließen.

Gäbe es eine solche Verpflichtung für Auslagerungsunternehmen nicht, würde die konkrete Auslagerung von Daten mit ihren spezifischen Risiken sich allein nach dem derzeit technisch und wirtschaftlich realisierbaren Stand der Technik richten. Diesen hat der Verantwortliche nach Art. 32 Abs. 1 DS-GVO („Sicherheit der Verarbeitung“) zu berücksichtigen.

(Un-)Übersichtlichkeit des Gesetzentwurfs

Nach Ansicht des DAV ist der Gesetzentwurf zu umfangreich ist und Redundanzen und zu viele Normen und Querverweise enthält, was der „Rechtsanwendung nicht förderlich“ sei. Der Gesetzentwurf lasse sich näher an den Richtlinientext anlehnen, so der DAV.

Ausblick

Es bleibt also abzuwarten, wie der deutsche Gesetzgeber am Ende die Anforderungen im Einzelnen regelt und die EU-Vorgaben zur Geschäftsführerhaftung unionsrechtskonform und gleichzeitig ohne Widersprüche und Unklarheiten im deutschen Recht ausfüllen wird.