Zurück zur Übersicht
02.07.2024Fachbeitrag

Update Datenschutz Nr. 180

NIS2-Richtlinie: Update zum deutschen Umsetzungsgesetz und der neuen EU-Durchführungsverordnung

Die NIS2-Richtlinie wirft weiterhin ihre Schatten voraus: Bis zum 17. Oktober 2024 muss die Richtlinie in nationales Recht umgesetzt werden. Ob der deutsche Gesetzgeber diese Umsetzungsfrist halten kann, ist aktuell ungewiss. Mit Datum vom 24. Juni 2024 hat das Innenministerium nun zumindest einen aktuellen Referentenentwurf für das deutsche NIS2-Umsetzungsgesetz veröffentlicht (abrufbar hier). Ebenfalls hat die EU-Kommission einen ersten Entwurf für eine NIS2-Durchführungsverordnung veröffentlicht, in der spezielle Vorgaben für bestimmte Diensteanbieter festgelegt werden (abrufbar hier).

1. Der aktuelle Referentenentwurf des NIS2-Umsetzungsgesetzes: Nur wenige Neuerungen

Der aktuelle Referentenentwurf enthält eine Vielzahl von redaktionellen und sprachlichen Anpassungen, insbesondere im neuen BSI-Gesetz („BSIG-neu“). So wurde etwa der Geltungsbereich des neuen BSIG-neu für TK-Anbieter sowie Betreiber von Energieversorgungsnetzen und Energieanlagen klargestellt. Diese unterliegen nun primär den Vorgaben zum IT-Risikomanagement und den Meldepflichten im TKG bzw. EnWG.

Wesentliche Änderungen betreffen vor allem die Verantwortlichkeit und Haftung der Geschäftsleitung von betroffenen Unternehmen. Insoweit sieht der Referentenentwurf nun vor, dass die Geschäftsleitung die gesetzlich vorgeschriebenen IT-Risikomanagementmaßnahmen „umsetzen“ muss. Nach dem Wortlaut würde eine solche Umsetzungspflicht im Zweifel bedeuten, dass die Geschäftsleitung die Umsetzung der Risikomanagementmaßnahmen nicht mehr nur billigen, sondern unmittelbar selbst vornehmen muss. Die Aufgabe und Funktion der Geschäftsleitung umfassen naturgemäß die strategische Planung, Leitung und Kontrolle der Unternehmensaktivitäten. In der Praxis wird die Umsetzung der Risikomanagementmaßnahmen daher maßgeblich von den fachlich-technisch Verantwortlichen (z. B. ISB) vorangetrieben. Auch praktisch ist davon auszugehen, dass die Qualität der Risikomanagementmaßnahmen im Unternehmen sinkt, und nicht steigt, wenn die Geschäftsleitung in der jetzigen Entwurfsfassung der Norm direkt zur Umsetzung verpflichtet wird. Es ist daher zu hoffen, dass diese Änderung im aktuellen Referentenentwurf wieder rückgängig gemacht wird und die Geschäftsleitungen ausschließlich verpflichtet werden, die Umsetzung der zu ergreifenden IT-Risikomanagementmaßnahmen zu billigen und zu überwachen.

Unberührt blieben dagegen die neuen Pflichten der Geschäftsleitungen zur regelmäßigen Teilnahme an Schulungen zwecks Erwerb von Kenntnissen und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken der Informationssicherheit (§ 38 Abs.3 BSIG-neu). Zuwiderhandlungen sollen zwar nicht unmittelbar bußgeldbewehrt sein. Allerdings können die Behörden nach § 64 BSIG-neu bei besonders wichtigen Einrichtungen etwa externe Prüfungen zur Frage anordnen, ob die Geschäftsleitungen regelmäßig an Schulungen teilgenommen haben. Verweigert die Geschäftsleitung die Teilnahme an Schulungen trotz Fristsetzung, so kommt nach § 63 Abs. 9 BSIG-neu sogar zeitweise eine behördliche Untersagung der Tätigkeitsausübung in Betracht.

Allerdings wurden die bisher bestehenden Haftungsvorschriften komplett überarbeitet. So wurden die bisherigen Bestimmungen, wonach ein Vergleich oder ein Verzicht auf etwaige Regressansprüche gegen die Geschäftsleitung grundsätzlich unzulässig sein sollte, komplett gestrichen. Stattdessen wird nun ausdrücklich geregelt, dass die Geschäftsleitung bei einer schuldhaften Verletzung ihrer Pflichten nach den anwendbaren gesellschaftsrechtlichen Bestimmungen mit ihrem Privatvermögen gegenüber der Gesellschaft haften sollen (z. B. nach § 43 GmbHG bzw. § 93 AktG). Sehen die gesellschaftsrechtlichen Bestimmungen keine Haftungsregelungen vor, richtet sich die Haftung nach dem BSIG-neu selbst. Das BSIG-neu enthält allerdings keine expliziten Haftungsregelungen für die Geschäftsleitung. Die aktuell vorgesehene Regelung läuft somit wohl ins Leere bzw. bedarf im Zweifel einer gerichtlichen Klärung. Auch hier ist somit zu hoffen, dass der Gesetzgeber noch einmal nachbessert.

2. Die neue NIS2-Durchführungsverordnung: Weitgehende Anforderungen für bestimmte Diensteanbieter

Der Entwurf der NIS2-Durchführungsverordnung („NIS2-DVO“) richtet sich an Anbieter von DNS-Diensten, TLD-Namensregistrierungsstellen, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Anbieter von Content Delivery Netzwerken, Managed Services Provider und Managed Security Services Provider, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für soziale Netzwerkdienste sowie Anbieter von Vertrauensdiensten.

Inhaltlich enthält die NIS2-DVO zum einen Spezifikationen, wann für die einzelnen Diensteanbieter ein erheblicher – und damit meldepflichtiger – Sicherheitsvorfall vorliegt, und zum anderen Konkretisierungen zu den umzusetzenden IT-Risikomanagementmaßnahmen.

Im Hinblick auf die Spezifikationen zur Erheblichkeit eines Sicherheitsvorfalls enthält die NIS2-DVO teilweise sehr weitgehende Vorgaben. So ist beispielsweise von einer Erheblichkeit auszugehen, wenn der Vorfall der betreffenden Einrichtung einen finanziellen Schaden verursacht hat oder verursachen kann, der 100.000 EUR oder 5 % des Jahresumsatzes der betreffenden Einrichtung übersteigt (je nachdem, welcher Betrag niedriger ist).

Daneben sind aber auch für die einzelnen Diensteanbieter von konkrete Erheblichkeitsschwellen enthalten. So ist etwa speziell bei Cloud Computing Anbietern von einer Erheblichkeit eines Sicherheitsvorfalls auszugehen, wenn der Cloud-Computing-Dienst für mehr als 10 Minuten vollständig nicht verfügbar ist oder bei dem Cloud-Computing-Dienst die vereinbarten Service Level für mehr als 5 % der Nutzer für einen Zeitraum von mehr als einer Stunde nicht eingehalten werden. Vergleichbare strenge Vorgaben bestehen auch für andere Diensteanbieter, wie Anbieter von Rechenzentrumsdiensten sowie Managed Services Provider.

In der Praxis bedeutet dies, dass die erfassten Diensteanbieter unbedingt sicherstellen müssen, dass sie ihre IT-Systeme und Service Level streng monitoren, um die in der NIS2-DVO vorgesehenen Erheblichkeitsschwellen einzuhalten. Andernfalls droht einer Verletzung der gesetzlichen Meldepflichten, die eine Erstmeldung bereits innerhalb von 24 Stunden ab Kenntnisnahme eines erheblichen Sicherheitsvorfalls gelten.

Im Hinblick auf die Konkretisierungen zu den IT-Risikomanagementmaßnahmen enthält die NIS2-DVO einen umfassenden Katalog an technischen und organisatorischen Maßnahmen. Inhaltlich orientiert sich der Maßnahmenkatalog dabei an gängigen internationalen Standards (z. B. der ISO 27001), setzt inhaltlich aber mitunter andere Schwerpunkte (z. B. vor allem im Bereich Krisenmanagement und Business Continuity) und geht inhaltlich sogar teilweise auch über die Vorgaben der jeweiligen Standards hinaus. Weiterhin nicht im Detail spezifiziert wird das Thema Cyberhygiene. Insoweit ist die NIS2-DVO sehr knapp gehalten. Insgesamt enthält die NIS2-DVO sinnvolle Konkretisierungen. Vor diesem Hintergrund bietet es sich grundsätzlich an, dass auch solche Unternehmen, die nicht zu den von der NIS2-DVO unmittelbar erfassten Diensteanbietern gehören, sich an dem Maßnahmenkatalog in der NIS2-DVO orientieren und diesen als Maßstab für die Umsetzung der (allgemeinen) Vorgaben zum IT-Risikomanagement (siehe § 30 BSIG-neu) heranziehen.

3. Ausblick und Handlungsempfehlungen

Das Innenministerium hat die Verbände bis Mitte Juli zur Stellungnahme zum aktuellen Referentenentwurf des NIS2-Umsetzungsgesetzes aufgefordert. Danach ist mit einer abschließenden Konsolidierung durch das Innenministerium und der weiteren Befassung auf Parlamentsebene zu rechnen. Im Rahmen unserer Tätigkeit im Bundesverband für IT-Sicherheit (TeleTrusT) sind unsere Experten unmittelbar am Gesetzgebungsverfahren auf Verbandsebene beteiligt und halten unsere Leser auf dem Laufenden.

Auch der Entwurf der NIS2-Durchführungsverordnung ist noch bis zum 25. Juli 2024 zur öffentlichen Konsultation geöffnet. Anders als beim NIS2-Umsetzungsgesetz ist aktuell wohl von einer zeitnahen Verabschiedung der NIS2-DVO durch die EU-Kommission zu rechnen.

Angesichts des noch nicht final verabschiedeten NIS2-Umsetzungsgesetzes stellt sich für viele Unternehmen die Frage, inwieweit sie sich bereits mit der Umsetzung der rechtlichen Vorgaben beschäftigen sollen. Eine kürzlich veröffentlichte Umfrage des US-Unternehmens Zscaler Inc. unter 875 europäischen IT-Leitern zeigt jedenfalls auf, dass aktuell erst ca. 14 % der betroffenen Unternehmen nach eigenen Angaben die NIS-2-Vorgaben bereits erfüllen (Bericht bei heise.de). In jedem Fall sind weitere Änderungen im Gesetzgebungsverfahren naturgemäß nicht auszuschließen. Angesichts der nur minimalen Änderungen im aktuellen Referentenentwurf ist aber in Zukunft nicht mehr mit umfassenden Änderungen, sondern eher punktuellen Anpassungen zu rechnen. Ein noch kontrovers diskutiertes Thema betrifft dabei sicherlich die Verantwortlichkeit und Haftung der Geschäftsleitung. Demgegenüber dürfe sich an den zentralen Vorgaben des NIS2-Umsetzungsgesetzes – die Umsetzung von IT-Risikomanagementmaßnahmen und die Meldung von Sicherheitsvorfälle – wohl eher nicht mehr viel ändern.

Aus diesem Grund sollten sich die betroffenen Unternehmen nicht zurücklehnen. Im Gegenteil: Es ist zu empfehlen, dass Unternehmens sich bereits intensiv mit der NIS2-Richtlinie und dem NIS2-Umsetzungsgesetz sowie der NIS2-DVO auseinandersetzen, indem sie die Betroffenheit prüfen und eine Bestandsaufnahme der aktuellen IT-Sicherheitsorganisation durchführen. Dies betrifft vor allem bestehende Sicherheitsmaßnahmen und -Prozesse. Im Rahmen der Bestandsaufnahme festgestellte Lücken (Gaps) sollten sodann zügig behoben werden. Je nach Reifegrad der IT-Sicherheitsorganisation kann dies mitunter noch erhebliche Aufwände bedeuten.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Michael Kuska, LL.M., LL.M.
Düsseldorf
Dr. Hans Markus Wulf
Hamburg

Ansprechpartner

Michael Kuska, LL.M., LL.M.
Düsseldorf
Dr. Hans Markus Wulf
Hamburg

Weitere Artikel

01.07.2024
BGH verbietet Werbung mit „klimaneutral“ ohne konkrete und direkt einsehbare weitere Hinweise
20.06.2024
Internationale Regulierung für KI-Systeme durch den Europarat
24.05.2024
Prüfpflichten sinngleicher Inhalte für Facebook und die Zumutbarkeit menschlich-händischer Einzelfallbewertungen
21.05.2024
BGH entscheidet zur Reichweite des Rechts auf Kopie
14.05.2024
Datenschutzkonforme Nutzung von künstlicher Intelligenz – Datenschutzbehörden veröffentlichen Orientierungshilfe
07.05.2024
Erschummeltes Lob? Fake-Bewertungen (auch) von Anwälten sind (natürlich) wettbewerbswidrig
03.05.2024
Aktuelle Rechtsprechung zum ärztlichen Werberecht – Vorher-Nachher-Bilder, ärztliche Videosprechstunden und irreführende Fachqualifikationen
29.04.2024
Datenschutzverstoß – Enthaftung des Verantwortlichen durch weisungswidriges Verhalten von Arbeitnehmern?
25.04.2024
Europäische Kommission verstößt gegen DSGVO – Wiederaufleben der Debatte um die Nutzung von Microsoft 365?
23.04.2024
Aktuelles zum Spannungsfeld zwischen Design- und Urheberschutz
27.03.2024
Die Umsetzung der NIS2-Richtlinie in Deutschland: Herausforderung bei der Bestimmung des Anwendungsbereichs bei Konzernen
20.03.2024
Achtung Online-Marketer: Neues EuGH-Urteil zum IAB TCF

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.