Das NIS2-Umsetzungsgesetz soll die Vorgaben der europäischen NIS2-Richtlinie in deutsches Recht umsetzen. Doch das Gesetzgebungsverfahren ist gescheitert. Wir erklären, was das für Unternehmen bedeutet.
Aktueller Stand des NIS-Umsetzungsgesetzes
Ende Januar 2025 wurde bekannt, dass die noch amtierende Regierung sich weder mit dem ehemaligen Koalitionspartner noch der Opposition auf eine gemeinsame Linie für das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG) einigen konnte.
Das Gesetzgebungsverfahren für das NIS2-Umsetzungsgesetz ist zumindest auf absehbare Zeit gescheitert. Damit wird sich eine neue Regierung mit einem üblicherweise dann neuen Vorschlag auseinandersetzen müssen.
Ein Gesetz zur Umsetzung der NIS-Richtlinie ist also nicht in Sicht.
Was bedeutet das Scheitern für Unternehmen?
Sehr viele Unternehmen sind jetzt verunsichert. Nüchtern betrachtet, ist es aber keinesfalls so, als wäre man nun zur Untätigkeit verdammt und müsste in banger Erwartung eines künftigen Gesetzes ausharren, nur um dann innerhalb kürzester Zeit gewaltige Investitionen und Anstrengungen aufbringen zu müssen.
Was von Unternehmen verlangt werden wird, ist bereits auf Basis der NIS2-Richtlinie ziemlich klar vorhersehbar. Es bleibt bei dem von uns ohnehin erteilten Rat, bereits jetzt mit einer Vorbereitung bzw. Umsetzung zu beginnen. Dies auch ganz klar, um dem Wettrennen um die oft notwendigen Berater zu entgehen, wenn dann mit dem Gesetzeserlass tatsächlich alle loslaufen.
Was Unternehmen jetzt schon unter der NIS2-Richtinie tun sollten
Die meisten Organisationen dürften relativ gut einschätzen können, ob sie Adressat sind bzw. werden.
Diese Organisationen werden – auch nach jedem neuen Gesetz – die folgenden Aufgaben zu erledigen haben:
Aufbau eines geeigneten Informationssicherheits-Managementsystems (ISMS):
Es müssen Risikomanagementmaßnahmen eingerichtet werden, mit dem Fokus auf Cybersicherheit. Die Sicherheit der eingesetzten IT-Systeme sowie der Netzwerke ist zu gewährleisten, eben mit dem besonderen Augenmerk der Cyber-Bedrohungslage.
Jedes halbwegs vernünftig geführte Unternehmen sollte diesem Bereich ohnehin größere Aufmerksamkeit schenken. Immerhin steigt die Bedrohungslage drastisch und für jeden. Ob man vom Gesetzgeber nun gezwungen wird, sich zu wappnen, ändert an der Ausgangslage gar nichts.
Vorbereitung auf die sicher kommenden Meldepflichten
Auch wenn hier noch nicht absehbar ist, an welche Stellen nun welche Meldungen gehen und welche Kompetenzen den Meldungsadressaten dann am Ende verliehen werden, ändert dies an den praktischen Auswirkungen für Unternehmen nichts. Die nicht behobenen Streitigkeiten in diesem Zusammenhang werden auf das Ergebnis aus Sicht der Unternehmen nicht verändern.
Die Aufdeckung, Behandlung und Dokumentation von Zwischenfällen ist ohnehin Teil eines ISMS. Dass dann bestimmte Dinge noch zusätzlich an irgendwen extern gemeldet werden müssen, ist kein Hinderungsgrund, die ohnehin notwendigen internen Vorbereitungen zu treffen.
Beobachtung der Registrierungspflicht
Sobald das Gesetz dann tatsächlich irgendwann erlassen ist, wird es eine Pflicht geben, sich bei irgendeiner Stelle zu registrieren. Dies ist eine separate Aufgabe, die ohne Weiteres auch separat aufgeschoben werden kann.
Ein Hindernis, nicht bereits jetzt ein geeignetes ISMS aufzubauen, besteht dadurch nicht. Dies gilt übertragen auch für alle Fragen, welche Behörden nun konkret die Aufsicht wahrnehmen und wie diese konkret ausgestaltet werden wird.
Verantwortung des Managements
Dass ein künftiges Gesetz hier nur ausdrücklich aussprechen wird, was ohnehin bereits meist gilt, sollte eher Ansporn als Hindernis sein. Das Management steht persönlich in der Verantwortung und Haftung – bereits jetzt ganz aktuell.
Lieferkettenmanagement
Auch die dann noch irgendwie zu konkretisierende Pflicht, sich darüber Gedanken zu machen, ob die eigene Informationssicherheit durch Lieferanten und Kooperationspartner beeinträchtigt werden könnte und was dagegen zu tun wäre, ist nicht neu. Sie besteht in aller Regel bereits jetzt. Teilweise sogar explizit, wenn man an den Bereich des Datenschutzes denkt.
Historie: Das stand im Gesetzentwurf zum NIS2UmsuCG
Wer wird vom NIS2-Umsetzungsgesetz adressiert?
Das Gesetz führt diverse Definitionen auch hinsichtlich der verpflichteten Stellen ein. Wer im Ergebnis verpflichtet ist oder ausnahmsweise nicht verpflichtet ist, wird zukünftig noch durch eine Rechtsverordnung im Detail bestimmt. An den Grundregeln, wie sie die NIS2-Richtlinie einführte, ändert sich aber nichts.
Welche Stellen letztendlich als wichtig bzw. besonders wichtig oder gar als kritisch zählen, muss im Einzelfall und mit Blick auf die dann dazugehörige Verordnung geklärt werden. Die Darstellung sämtlicher Möglichkeiten führt im Rahmen dieses Beitrags zu weit.
Grundsätzlich sollten aber alle Unternehmen, die mindestens als mittleres Unternehmen eingestuft sind, das weitere Gesetzgebungsverfahren aufmerksam verfolgen. Im Entwurf sind als mittlere Unternehmen definiert:
„Unternehmen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die
a) mindestens 50 und höchstens 249 Mitarbeiter beschäftigen und zudem einen Jahresumsatz von weniger als 50 Millionen EUR oder eine Jahresbilanzsumme von weniger als 43 Millionen EUR aufweisen oder
b) weniger als 50 Mitarbeiter beschäftigen und einen Jahresumsatz und eine Jahresbilanzsumme von jeweils mindestens 10 Millionen EUR und einen Jahresumsatz von höchstens 50 Millionen EUR sowie eine Bilanzsumme von höchstens 43 Millionen EUR aufweisen.“
Ebenfalls aufmerksam sollte jene Stellen sein, die einer von Richtlinie und Gesetz genannten Branchen zugehören:
- Energie
- Verkehr
- Transport
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheitswesen
- Trinkwasser
- Abwasser
- digitale Infrastruktur
- Verwaltung von IKT- Diensten oder Weltraum
Pflicht zum Risikomanagement
Adressierte Einrichtungen sind nach § 30 des Gesetzesentwurfs verpflichtet, verhältnismäßige technische und organisatorische Maßnahmen zu ergreifen, um Störungen von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu vermeiden sowie Auswirkungen von Sicherheitsvorfällen zu verhindern oder möglichst gering zu halten.
Die Maßnahmen müssen angemessen sein und sollen den Stand der Technik berücksichtigen, insbesondere so, wie er in einschlägigen Normen enthalten ist. Damit sind klar Normen wie die ISO 27001 oder der IT-Grundschutz etc. gemeint. Für Betreiber kritischer Anlagen sollen dabei ausdrücklich erhöhte Anforderungen gelten, wobei das Gesetz allerdings nicht erkennen lässt, was damit gemeint ist und welche Anforderungen als normal anzusehen sind.
Ausdrücklich einbezogen werden müssen bei der Erwägung geeigneter Maßnahmen die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse.
Unternehmen müssen damit noch deutlich mehr als bisher ohnehin schon (Stichwort Auftragsverarbeitung im Datenschutz) einen kritischen Blick auf jeden einzelnen Lieferanten werfen. Im Gegenzug sollten sich Lieferanten darauf einstellen, dass künftig deutlich gesteigerte Erwartungen an sie gestellt werden dürften, die geforderten Nachweise zu erbringen. Wer seine Kunden behalten will, sollte diese bei der Wahrnehmung ihrer Pflichten vorausschauend und optimal unterstützen.
Damit werden sich die gesetzlichen Anforderungen vorhersehbar zumindest indirekt auf deutlich mehr Unternehmen auswirken als nur die direkten Adressaten des NIS2UmsuCG. Lieferanten werden dadurch gezwungen, vergleichbare Anforderungen zu erfüllen und dies auch nachweisen zu können.
Ein gefahrübergreifender Ansatz ist bei der Umsetzung von technischen und organisatorischen Maßnahmen zwingend und als Minimum werden ausdrücklich gefordert:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
- die Bewältigung von Sicherheitsvorfällen,
- die Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall sowie Krisenmanagement,
- die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Diese einzelnen Punkte sind im Grunde nur klarstellend. Sie sind im Rahmen eines tauglichen Informationssicherheits-Managementsystems (ISMS) ohnehin regelmäßig notwendig. Damit ergibt sich die Pflicht bereits aus der allgemeinen Anforderung, sich an den entsprechenden Normen zu orientieren. Allerdings wird denjenigen Stellen bzw. deren Verantwortlichen, die bislang den Aufwand vermeiden wollten, sich nach einer entsprechenden Norm zu richten, nun ausdrücklich der Weg versperrt. Vor allem die in der Praxis meist sehr ungeliebten Konzepte bzw. Regelungen erhalten so deutlich mehr Gewicht.
Nachweispflichten
Alle besonders wichtigen Einrichtungen sind nach § 34 des NIS2UmsuCG-Gesetzesentwurfs verpflichtet, dem BSI (Bundesamt für die Sicherheit in der Informationstechnik) die Erfüllung der vorgenannten Anforderungen nachzuweisen. Erstmalig ist der Nachweis nach zwei bzw. spätestens drei Jahren ab Inkrafttreten des Gesetzes fällig. Danach muss er alle zwei Jahre regelmäßig erbracht werden.
Der Nachweis kann durch Audits und Zertifizierungen erfolgen und aufgedeckte Sicherheitsmängel sind dabei dem BSI gegenüber offenzulegen. Auch kann das BSI verlangen, in die Prüfungsunterlagen Einsicht zu nehmen. Die Zeit für die in der Praxis leider immer noch häufig anzutreffenden kaum aussagekräftigen und vor allem für Dritte nicht nachvollziehbaren Prüfberichte, dürfte damit vorbei sein.
Meldepflichten
Wie in der NIS2-Richtlinie vorgesehen, sind adressierte Einrichtungen nach § 34 des Gesetzesentwurfs verpflichtet, Sicherheitsvorfälle an das BSI zu melden, und zwar innerhalb von 24 Stunden nach Kenntniserlangung. Details zum Vorfall müssen unverzüglich, spätestens aber innerhalb von 72 Stunden nachgeliefert werden.
Zur Klarstellung: Diese Fristen beziehen sich nicht auf die eigenen Geschäftszeiten!
Direkte und persönliche Verpflichtung des Managements
- § 38 des Gesetzesentwurfs spricht nochmals klar und unmissverständlich aus, was sich bereits aus der Anwendung allgemeiner rechtlicher Grundlagen ergibt: Das Management ist persönlich verpflichtet, angemessene Maßnahmen zu veranlassen und kann diese Pflicht auch nicht auf andere abwälzen. Das Management haftet persönlich bei Pflichtverletzungen und das Unternehmen darf auf diese Ansprüche und deren Durchsetzung nicht verzichten. Die Grenze ist allein die Privatinsolvenz des Managers. Lediglich als Sollvorschrift wird Managern zudem aufgegeben, sich selbst regelmäßig in den relevanten Bereichen weiterzubilden.
Wie gesagt, § 38 wiederholt hier nur, was sich bereits aus dem allgemeinen Recht ergibt. Offenbar ist es allerdings notwendig, dies gesetzgeberisch klarzustellen.
Überprüfung und Durchsetzung durch das BSI
Bei besonders wichtigen Einrichtungen kann das BSI auch aktiv kontrollieren, wie es § 64 des Gesetzesentwurfs vorsieht. Auch kann das Bundesamt verbindliche Anweisungen erteilen und gegebenenfalls auch einen Beauftragten zur Überwachung einsetzen und das Management entmachten.
Bußgelder
Selbstverständlich enthält der Gesetzesentwurf in seinem § 59 auch Bußgeldvorschriften. Verstöße können mit sehr empfindlichen Bußgeldern geahndet werden, die im Bereich von 100.000 bis hin zu vielen Millionen Euro reichen können. Auch Zwangsgelder von bis zu 100.000 Euro sind möglich.
An dieser Stelle nochmals kurz der Verweis nach oben: Ein Rückgriff auf das Management ist vorgesehen, soweit dieses solche Schäden für das Unternehmen zu vertreten hat.
Fazit: Wer auf das NIS2-Umsetzungsgesetz wartet, verliert
Weiterhin in einer nun auch noch verärgerten Angststarre zu verharren, ist definitiv der falsche Ansatz. Organisationen könnten die Verzögerung in Sachen NIS2-Umsetzungsgesetz vielmehr als Chance begreifen, mit deutlich weniger Zeitdruck die völlig vorhersehbaren Pflichten anzugehen. Derzeit ist der Markt an Beratern sicherlich auch noch deutlich entspannter.
Ergänzender Hinweis: Durch die längst versäumte Umsetzungsfrist kommt nun auch eine direkte Anwendung der europäischen NIS2-Richtlinie infrage. Bürger können sich in entsprechenden Fällen auch direkt auf eine Richtlinie berufen, wenn diese bereits konkrete Verpflichtungen bzw. Rechte vorsieht. In der NIS2-Richtlinie sind allerdings (soweit ersichtlich) keine solchen Rechte erkennbar, auf die sich ein Bürger selbst berufen könnte.