Das Risiko für ein Unternehmen, Opfer eines Cyberangriffs, Datendiebstahls oder von Betrugsversuchen zu werden, ist unverändert hoch. Das gilt für die alltäglichen Angriffe, die auf eine Verschlüsselung der Computersysteme von Unternehmen, eine Entwendung von Daten und die Erpressung eines Lösegelds abzielen, aber auch für die Manipulation von E-Mails und Rechnungen sowie für vorgetäuschte Zahlungsanweisungen (etwa durch angebliche Vorgesetzte, sogenannte Fake-Presidents). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt die Lage der IT-Sicherheit in Deutschland in seinem letzten Bericht aus dem November 2024 daher weiter als herausfordernd. Es weist zudem auf die neuen Möglichkeiten hin, die der Einsatz von KI für Angreifer bietet. Diese treffen in vielen Unternehmen leider immer noch auf lückenhafte Sicherheitsvorkehrungen und unzureichende Prozesse. Die – in Deutschland allerdings nur kurze – Aufregung um die fehlerhaften Sicherheitsupdates des Anbieters CrowdStrike hat zusätzlich die Verwundbarkeit und große Abhängigkeit vieler Unternehmen von digitalen Systemen in Erinnerung gerufen. Positiv zu vermerken ist aber: Die Resilienz deutscher Unternehmen hat sich in den letzten Jahren erheblich verbessert. Das Bewusstsein für Fragen der IT-Sicherheit hat zugenommen.
Auch wenn die laufende Berichterstattung über Cybervorfälle und Sicherheitslücken die Entwicklung hin zu einer größeren Sensibilität für das Thema Cybersicherheit sicherlich befördert hat, wird diese aber vor allem durch einige neue Gesetze und Maßnahmen zur Cybersicherheit getrieben. Die EU und der deutsche Gesetzgeber haben 2024 eine ganze Reihe von Gesetzen, Richtlinien und Verordnungen verabschiedet, um die Cybersicherheit zu stärken. Dies vorschnell als überbordende oder sogar überflüssige Regulierung abzutun wäre angesichts der immer noch in vielen Bereichen und Unternehmen verbesserungswürdigen Sicherheit und Prozesse aber ein Fehler.
Im Detail: NIS2
Ein zentraler Baustein für die Cybersicherheit ist dabei die europäische NIS2-Richtlinie. Mit der NIS2-Richtlinie hat der europäische Gesetzgeber Ende 2022 eine Aktualisierung der ersten Richtlinie zur Netzwerk- und Informationssicherheit aus 2016 vorgenommen, die Regelungen an neuere technische Entwicklungen angepasst und den Anwendungsbereich erweitert. Dass die Diskussion um die NIS2-Richtlinie nun Fahrt aufnimmt und in ihrer Aufgeregtheit stellenweise an das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) 2018 erinnert, hat seinen Grund darin, dass die NIS2-Richtlinie bis Oktober 2024 in das Recht der Mitgliedstaaten umgesetzt werden musste. Entsprechend haben sich viele Unternehmen (erstmals) mit den Anforderungen der NIS2-Richtline befasst. Deutschland hat dieses Datum klar verfehlt, wie viele andere Mitgliedstaaten der EU auch. Damit ist die NIS2-Richtlinie aber mitnichten irrelevant. Der anstehende Regierungswechsel dürfte zwar zu weiteren Verzögerungen führen. Aktuell erscheint es aber eher unwahrscheinlich, dass eine neue Bundesregierung die Thematik nochmals ganz neu aufgreift. Daher ist es für Unternehmen ratsam, sich bereits jetzt an den Vorgaben des aktuellen Umsetzungsentwurfs zu orientieren. Dieser wird vermutlich ohne wesentliche Änderungen nach der Bundestagswahl vom Bundestag erneut beraten und verabschiedet werden.
Was jetzt zu tun ist
Was verlangt das deutsche Umsetzungsgesetz also von Unternehmen, und für wen gelten die Vorschriften überhaupt? Wie sind die vorgesehenen Regelungen vor dem Hintergrund des ausgerufenen Ziels der Erhöhung der Cybersicherheit innerhalb der EU einzuordnen?
Im aktuellen Entwurf wird das Ziel ausgegeben, verbindliche Maßnahmen für Verwaltung und Wirtschaft zur Gewährleistung eines hohen Cybersicherheitsniveaus in der EU einzuführen. Die einheitlichen Regeln sollen insbesondere dafür sorgen, dass Unternehmen innerhalb der EU überall dieselben Regeln zu befolgen haben. „Wichtige“ und „besonders wichtige Einrichtungen“ sollen vor Schäden geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden. In dieser letzten bekannten Fassung des Umsetzungsgesetzes wird der jährliche Erfüllungsaufwand für die Wirtschaft mit rund 2,2 Milliarden Euro beziffert. Insgesamt entstehe ein einmaliger Aufwand von rund 2,1 Milliarden Euro. Dieser sei fast ausschließlich der Kategorie Einführung oder Anpassung digitaler Prozessabläufe zuzuordnen. Auch wenn solche Angaben in Gesetzesentwürfen regelmäßig wenig genau sind, so signalisieren sie doch, dass der deutsche Gesetzgeber noch von einigem Anpassungsbedarf bei Unternehmen ausgeht.
Die zentralen Maßnahmen des Umsetzungsgesetzes betreffen eine Änderung eines schon bestehenden deutschen Gesetzes, nämlich des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG).
Auch wenn zunächst für weite Teile der deutschen Wirtschaft insoweit Entwarnung gegeben werden kann, soll der Anwendungsbereich des BSIG durch die Umsetzung der NIS2-Richtlinie stark erweitert werden. Betreiber kritischer Anlagen sollen dabei den strengsten Anforderungen unterliegen. Zudem würde das BSIG nach dem geplanten Umsetzungsgesetz auf „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ Anwendung finden.
Dabei wird sowohl hinsichtlich des Tätigkeitssektors als auch anhand der Unternehmensgröße differenziert. Schon Unternehmen unter 50 Mitarbeitern können erfasst sein. Dies gilt zum Beispiel für Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze abhängig vom Jahresumsatz.
Die Unternehmen, die von der geplanten Gesetzesänderung betroffen sind, haben verschiedene, je nach Einrichtungsart und -größe abgestufte, Pflichten zu erfüllen. Der Pflichtenkatalog umfasst
- eine Registrierungspflicht,
- eine Meldepflicht hinsichtlich erheblicher Sicherheitsvorfälle (die die Cyber- und Informationssicherheit betreffen),
- die Einführung und Verbesserung von Risikomanagementmaßnahmen,
- die Teilnahme an einem Informationsaustausch,
- Billigungs-, Überwachungs- und Schulungspflichten für Geschäftsleitungen.
Cybersicherheit ist „Chefsache“
Die NIS2-Richtlinie und das deutsche Umsetzungsgesetz schreiben damit fest, was vielfach schon jetzt für zahlreiche Unternehmen in Deutschland gilt: Cybersicherheit ist „Chefsache“. Die juristische Erkenntnis, dass es oftmals auch eines Risikomanagements hinsichtlich Cybersicherheit durch die Geschäftsleitung bedarf, ist dabei keine Erfindung der NIS2-Richtlinie. Die Geschäftsprozesse zahlreicher Unternehmen hängen inzwischen derart stark von digitalen Abläufen ab, dass bereits kleinere Störungen (auch ohne einen Cyberangriff) erhebliche Auswirkungen für diese Unternehmen, ihre Zulieferer und Kunden haben können. Aber die Richtlinie setzt bisher dahingehend geführten Diskussionen sicherlich im Rahmen ihres Anwendungsbereichs ein Ende. Denn ob ein Risikomanagement durch die Geschäftsleitung ausreichend ist, wird nunmehr in der NIS2-Richtlinie durch einen klareren rechtlichen Rahmen geregelt. Auch wenn die Anforderungen die konkreten Verhältnisse einzelner Unternehmen natürlich berücksichtigen, nennt das geplante Gesetz dann doch sehr konkrete einzelne Elemente, die umgesetzt werden müssen. Dabei geht der Gesetzgeber durchaus auch in technische Details, wie Regelungen zu Back-up-Management, Notfallplänen, erforderlichen Schulungen von Mitarbeitern, Verschlüsselungstechniken, zur Verwendung von Multi-Faktor-Authentifizierung, zur Absicherung von Kommunikation sowie zu Anforderungen an Konzepte für die Zugriffskontrolle zeigen. Die Erfahrung belegt, dass die Umsetzung dieser technischen und organisatorischen Maßnahmen, die aktuell leider noch allzu oft keine oder keine ausreichende Beachtung finden, es Angreifern jedenfalls erheblich erschweren können, einem Unternehmen Schaden zuzufügen.
Das Risikomanagement wird zudem eindeutig der Geschäftsleitung zugewiesen, und entsprechend ist auch eine Vorschrift für die Haftung der Geschäftsleiter aufgenommen. Das ist nur konsequent – und dass es durch den Gesetzgeber betont wird, zeigt, dass er hier Handlungsbedarf erkannt hat. Das bestätigt ein Blick in die Praxis. Leider sind Schadensfälle keine Seltenheit, bei denen Unternehmen sich umfangreich auf Dienstleister verlassen und diese zum Beispiel unzureichend überwachen oder gar deren Überwachung gleich mit outsourcen. Außerdem werden vereinzelt noch immer elementare Fragen der IT-Sicherheit nicht umgesetzt, weil IT-Sicherheit als Widerspruch zu einer Benutzerfreundlichkeit oder als Zumutung für die eigene Belegschaft wahrgenommen wird. Die neuen Regelungen zwingen die Geschäftsleitungen zu einer inhaltlichen Auseinandersetzung mit dem Thema. Es genügt eben nicht, lediglich Geld und Personal zur Verfügung zu stellen. Diese Mittel müssen auch richtig eingesetzt werden!
Versäumnisse können für Unternehmen neben den unmittelbar entstehenden Schäden und Kosten auch ein Bußgeldverfahren nach sich ziehen. Die Höhe des Bußgelds wird dabei – wie schon aus der DSGVO und dem Lieferkettensorgfaltspflichtengesetz bekannt – an die Unternehmensumsätze geknüpft.
Fazit
Die NIS2-Richtline ist mit einer Vielzahl vor allem präventiver Maßnahmen und Anforderungen an das technische und organisatorische Risikomanagement von Unternehmen ein wichtiger Schritt, um das Ziel des europäischen Gesetzgebers zu erreichen, die IT-Sicherheit in der EU nachhaltig zu stärken. Da das Bewusstsein für die Risiken und die Abhängigkeiten von IT-Systemen in den letzten Jahren gestiegen ist, bestehen auch gute Chancen, dass die Richtlinie hierzu einen wichtigen Beitrag leisten wird. Manches ist dabei tatsächlich neu, anderes wiederum ist eher eine Klarstellung und bedeutet eine formale Festschreibung ohnehin bereits aus technischer und organisatorischer Sicht richtiger und wichtiger Grundsätze und Maßnahmen für IT-Sicherheit und Risikomanagement. Für die betroffenen Unternehmen bedeutet das Gesetz sicherlich einigen Mehraufwand, der sich aber letztlich vielfach auszahlen wird, vergleicht man diesen mit dem enormen Schadenspotential von Cyberangriffen, Datendiebstählen oder Betrugsversuchen.
