Umsetzung der NIS-2-Richtlinie

Größere Haftung für Geschäftsführer und Manager

Von der Umsetzung der Richtlinie (EU) 2022/2555 auch bekannt als NIS-2-Richtlinie, sind etwa 30.000 Unternehmen betroffen. Die Europäische Union hat diese Richtlinie veröffentlicht, um eine einheitliche Herangehensweise zur Gewährleistung von Cybersicherheit in ganz Europa sicherzustellen. Diese ist bis zum 17. Oktober 2024 in nationales Recht zu überführen.

Dazu liegt ein erster Referentenentwurf des Bundesministeriums des Innern und für Heimat BMI) vor. Das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements der Bundesverwaltung(NIS-2- Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG)“ ist ein Änderungsgesetz, welches verschiedene bestehende Gesetze entsprechend der NIS-2-Richtlinie anpasst und umstrukturiert.

Betroffen sind neben Bundeseinrichtungen auch Betreiber kritischer Anlagen (sog. KRITIS). Bei den sog. KRITIS handelt es sich um Unternehmen im Bereich der Energie, Gesundheit, IT und TK, Transport und Verkehr, Finanzen und Versicherungen, Trinkwasser sowie Ernährung und Entsorgung. Im Gesetzentwurf werden diese Unternehmen je nach Größe als „besonders wichtige Einrichtungen“ oder „wichtige Einrichtungen“ definiert. Darunter fallen auch Unternehmen der Rüstungsindustrie, Wertschöpfung und Gefahrstoffe. Insgesamt werden die Pflichten für alle Betroffenen konkreter und umfangreicher, insbesondere im Hinblick auf das Risikomanagement, Vorfallsmeldungen, technische Maßnahmen und Governance.

Nach dem neuen Gesetzesentwurf der NIS-Richtlinie sollen u. a. auch Geschäftsführer und Manager stärker in die Verantwortung bzgl. des IT-Risikomanagement und der Cybersicherheit eingebunden werden. Sie sollen dazu verpflichtet werden, angemessene Sicherheitsmaßnahmen zu treffen, um die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Netzwerk- und Informationssysteme sicherzustellen. Dazu gehört auch die regelmäßige Kontrolle der gesamten IT-Infrastruktur. Laut dem Entwurf soll es nicht gestattet sein, diese Aufgaben und damit die Verantwortung an einen externen IT-Dienstleister auszulagern. Die Geschäftsleiter sollen persönlich für die Sicherheit der IT-Infrastruktur verantwortlich sein und auf diese Weise die Förderung einer solchen sicherstellen.

Des Weiteren enthält der Entwurf auch erweiterte Sanktionsvorschriften mit neuen Bußgeldtatbeständen und erhöhten Bußgeldern, die mehrstufig verhängt werden können. So drohen zwischen 100.000 und 20 Millionen Euro Bußgelder und ist bei manchen Einrichtungen teils an den weltweiten Gesamtumsatz im Vorgeschäftsjahr gekoppelt.

Durch die Umsetzung der Richtlinie wird vor allem das BSI-Gesetz zu großen Teilen überarbeitet und die Sicherheitsanforderungen werden einheitlicher gestaltet. Die Änderungen sollen zum 1. Oktober 2024 in Kraft treten und viele der betroffenen Unternehmen können sichauf weitreichende Veränderung einstellen.