Mit der IT-Security ist es so ähnlich wie mit dem unliebsamen Besuch beim Zahnarzt: Wer den Aufwand der Vorsorge scheut, der wird später schmerzlich geheilt werden müssen. Zur Absicherung gegen Cyberangriffe & Co. lohnt sich der Schutz der eigenen IT-Infrastruktur natürlich für jedes Unternehmen. Wer es bei den technisch-organisatorischen Maßnahmen (TOM) zur Datensicherheit nicht so genau nimmt, riskiert im Falle einer Datenschutzverletzung nicht nur ein Bußgeld, sondern auch erhebliche Schadenersatzansprüche (EuGH, Urteil vom 14.12.2023 – C-340/21, Besprechung hier).
Mehr als nur ein lästiges Compliance-Thema ist IT-Sicherheit hingegen bei Unternehmen und sonstigen Stellen, die vom Gesetzgeber bis dato als kritische Infrastrukturen (KRITIS) eingeschätzt werden. Der erlauchte Kreis, zu denen bisher ca. 4.500 Unternehmen und Behörden gehören sollen, wird im Zuge des „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz –NIS2UmsuCG)“ noch im Jahr 2024 erheblich erweitert – man rechnet mit mindestens 30.000 betroffenen Einrichtungen. Wen es trifft und was zu tun ist, soll nachfolgend überrissen werden.
1. Was sind KRITIS-Einrichtungen?
Was bei vielen Unternehmen lediglich im „Compliance“-Ordner abgelegt wird, ist für die Betreiber von kritischer Infrastruktur in Zeiten von Terrorismus und kriegerischen Auseinandersetzungen wichtiger Bestandteil der gesetzlichen Auflagen. Das BSI-Gesetz definierte diese kurz KRITIS genannten Einrichtungen und Anlagen bisher in § 2 Absatz 10 als solche, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung angehören und die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Was alles genau dazugehört, regelte bis dato die näher ausgestaltende BSI-Kritis-Verordnung.
2. Was ändert sich und wer ist betroffen?
Der Begriff der Kritischen Infrastruktur wird im neuen BSI-Gesetz vollständig durch die Bezeichnung kritische Anlage ersetzt, die betroffenen Einrichtungen und Anlagen ändern sich dadurch aber kaum. Die primäre Unterscheidung soll derweil zwischen den Besonders wichtigen Einrichtungen und den „nur“ wichtigen Einrichtungen stattfinden, da diese Kategorisierung der Richtlinie entspricht – die kritischen Anlagen sind daher nur ein Unterfall der besonders wichtigen Einrichtungen. Sonderfälle, die den Anwendungsbereich noch erweitern wie z.B. die vom Staat im Einzelfall als (besonders) wichtig eingestuften Unternehmen tragen auch nicht dazu bei, dass die neuen Bestimmungen leicht anzuwenden sind.
Die Grundregel ist, dass zur Einordnung der Einrichtungen im Wesentlichen zwei Dinge zusammenkommen müssen: Zum einen muss der Tätigkeitsbereich zu einer der 17 Sektoren gehören, die wiederum nach hoher Kritikalität und sonstige kritische Sektoren unterteilt sind – der näheren Einordnung dienen die Anlagen zum neuen BSI-Gesetz. Zum anderen ist die Größe des Unternehmens in Bezug auf die Anzahl der Beschäftigten sowie auf den Umsatz bzw. die Bilanz zu bestimmen.
Die Sektoren mit hoher Kritikalität nach Anlage 1 zum BSI-Gesetz neuer Fassung entsprechen nahezu den bisherigen KRITIS-Einrichtungen, also Energie, Verkehr, Banken, Finanzmarkt, Gesundheit (z.B. Gesundheitsdienstleister, Hersteller von bestimmten Medikamenten, kritische Medizinprodukte), Trink- und Abwasser, digitale Infrastruktur (z.B. Cloud-Computing-Dienste, Rechenzentren, Content Delivery Networks, Vertrauensdiensteanbieter), Verwaltung von IKT-Diensten, Öffentliche Verwaltung und die Bodeninfrastrukturen für den Weltraum. Den bisherigen Sektor Medien und Kultur sucht man in der NIS-2-Richtlinie ebenso vergebens wie die zwischenzeitlich eingeführten Unternehmen im besonderen öffentlichen Interesse (UBI).
Spannend wird es bei den sonstigen kritischen Sektoren gemäß Anlage 2, dazu sollen gehören:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe / Herstellung von Waren (meist nach NACE Rev. 2)
- Herstellung von Medizinprodukten, die nicht zur hohen Kritikalität gehören
- Herstellung von Datenverarbeitungsgeräten
- Herstellung von elektronischen und optischen Erzeugnissen
- Herstellung von elektrischen Ausrüstungen
- Maschinenbau
- Herstellung von Kraftwagen und Kraftwagenteilen
- Sonstiger Fahrzeugbau
- Anbieter digitaler Dienste (Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke)
- Forschung.
Als besonders wichtige Einrichtungen gelten so genannte Großunternehmen (ab 250 Mitarbeiter oder ab 50 Mio. EUR Umsatz bzw. Bilanz ab 43 Mio. EUR), die den Sektoren mit hoher Kritikalität zugeordnet werden. Die anderen Großunternehmen sowie die mittleren Unternehmen (ab 50 Mitarbeiter oder 10 Mio. EUR Umsatz / Bilanz ab 10 Mio. EUR) aus den Sektoren in Anlage 1 und 2 stellen dann die wichtigen Einrichtungen dar. Die zwischenzeitlich ins BSI-Gesetz eingeführten UBI gehen in den neuen Begrifflichkeiten auf.
3. Welche Pflichten kommen auf die betroffenen Unternehmen zu?
Was für die bisherigen KRITIS-Unternehmen als alter Wein in neuen Schläuchen daherkommt, ist für die schon bald zusätzlich betroffenen Firmen mit einem erheblichen Aufwand verbunden. Welche Maßnahmen zu ergreifen sind, hängt zunächst maßgeblich davon ab, ob man zu den besonders wichtigen oder „nur“ zu den wichtigen Einrichtungen gehört. Gemein ist allen betroffenen Unternehmen, dass geeignete Maßnahmen des Risikomanagements getroffen werden müssen. Es sind verhältnismäßige TOM zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen auf ihre oder andere Dienste zu verhindern oder möglichst gering zu halten. Die Maßnahmen sollen nicht weniger als den allseits beliebten Stand der Technik berücksichtigen. Als Maßnahmen zählt § 30 Absatz 4 des BSI-Gesetzentwurfs auf:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Hinzutreten eine stufenweise Meldepflicht bei Sicherheitsvorfällen sowie eine Pflicht zur Registrierung bei der zuständigen Behörde. Die besonders wichtigen Einrichtungen treffen überdies Nachweispflichten in Bezug auf die Einhaltung der IT-Sicherheitsvorschriften. Das BSI kann bei einem Sicherheitsvorfall auch anweisen, dass Empfänger von Diensten von einem Vorfall zu unterrichten sind.
4. Was passiert, wenn ich meinen Pflichten nicht nachkomme?
Die in neuer Form beschworene Resilienz der Systeme ist nach dem Willen der kommenden Vorschriften Chefsache, d.h. es werden ausdrücklich Geschäftsführer, Vorstände und Co. auf die Einhaltung der Vorgaben verpflichtet. Geschäftsleiter müssen die Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen und ihre Umsetzung überwachen. Ausdrücklich heißt es, dass die Beauftragung eines Dritten zur Erfüllung dieser Verpflichtungen nicht zulässig ist. Kommt die Geschäftsleitung der Billigungs- und Überwachungspflicht nicht nach, haftet sie dem Unternehmen für den entstandenen Schaden – der beträchtlich sein kann. Hierhin gehört der Hinweis, wie ausufernd allein der Schadenersatz sowie das Bußgeld im Bereich des Datenschutzes werden kann. Welche Schäden und Kosten ansonsten durch IT-Vorfälle im Unternehmen auftreten können, lässt sich kaum aufzählen (z.B. Lösegeld, Vertragsstrafen, Einbußen wegen längerem Betriebsausfall), so dass sich niemand für eine solche Entwicklung verantwortlich zeichnen will.
Der Gesetzgeber hat nicht nur erweiterte Befugnisse für die zuständigen Behörden, sondern auch einen empfindlichen Rahmen für Bußgelder vorgesehen: Schon bei den wichtigen Einrichtungen gilt ein Höchstbetrag von 7 Mio. € oder 1,4% des weltweiten Umsatzes im Vorjahr, bei den besonders wichtigen Einrichtungen geht es sogar bis 10 Mio. € oder 2% des Umsatzes.
Die gute Nachricht für besonders wichtige Einrichtungen ist, dass die Nachweispflichten frühestens zwei Jahre und spätestens drei Jahre nach Inkrafttreten des neuen Gesetzes greifen. Allerdings gilt schon ab dem Inkrafttreten, dass nur compliant sein kann, wer ab diesem Zeitpunkt die gesetzlichen Vorgaben einhält. Sollte zwischenzeitlich etwas passieren, sind etwaige Nachlässigkeiten vorwerfbar und führen zu den oben dargestellten Konsequenzen.
5. Zusammenfassung
Für alle Unternehmen, die sich jetzt in den neuen Kategorien wiederfinden, ist es längst Zeit zu handeln. Selbst dann, wenn man nicht zu den 17 Sektoren zählt oder die Größenschwelle nicht erreicht, lohnt sich es immer, ein IT-Sicherheitskonzept zu entwickeln oder zu überdenken. Die zugehörigen TOM sind eben nicht nur eine lästige Anlage zu einem Datenschutzvertrag: Die Aufgaben der Erstellung, der Umsetzung sowie der Überwachung sollten zum Wohle des Unternehmens stets ernstgenommen werden. Wir von MKM geben Ihnen jederzeit rechtliche Hilfestellungen zum Thema.