Die Umsetzung der NIS-2-Richtlinie wird eine Vielzahl von Unternehmen erstmalig im Bereich IT-Sicherheit regulieren. Auf Unternehmen und deren Geschäftsleitungen kommen neue Pflichten und eine verstärkte Haftung im Bereich IT-Sicherheit zu. Es stellen sich nicht nur technische und organisatorische, sondern auch rechtliche Fragen. Unternehmen müssen sich bereits jetzt mit der Umsetzung beschäftigen und dabei weitere Rechtsakte der EU berücksichtigen – auch um möglichst kosteneffizient vorzugehen.

Mit dem lang erwarteten Referentenentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wird die NIS-2-Richtlinie (EU) 2022/2555 in deutsches Recht umgesetzt. Sie ist ein Baustein der Cybersicherheitsstrategie der EU neben dem Digital Operational Resilience Act (DORA) und dem Cyber Resilience Act (CRA).

Das Gesetz soll zum 1. Oktober 2024 in Kraft treten. Es ist aber bereits absehbar, dass Deutschland dieses Datum nicht halten kann und wieder einmal eine EU-Richtlinie verspätet umsetzen wird.

Das Gesetz wird Unternehmen und Geschäftsleitungen vor einige Herausforderung stellen, allen voran die Frage, ob sie überhaupt in den Anwendungsbereich fallen. Derzeit gibt es gesetzliche Vorgaben im Bereich der IT-Sicherheit nur für ca. 2.000 Betreiber kritischer Anlagen und im Finanzwesen. Es wird geschätzt, dass die Vorgaben über 30.000 Unternehmen in Deutschland erfassen, vermutlich werden es sogar deutlich mehr.

Unternehmen fallen in den Anwendungsbereich, wenn sie in den aufgelisteten Sektoren tätig sind und gesetzliche Schwellenwerte überschreiten. Klingt einfach, ist aber in der Realität komplex. Die Sektorenauflistung enthält zahlreiche Verweise auf nationale oder europäische Rechtsakte und nutzt die statistische Systematik der Wirtschaftszweige in der EU. Einige Unternehmen werden von einer Anwendbarkeit „überrascht“, z.B. Hersteller von elektrischen Haushaltsgeräten, Uhren oder Auspuffrohren.

Die Mindestschwellenwerte sind mindestens 50 Beschäftigte oder ein Jahresumsatz sowie eine Jahresbilanzsumme über 10 Mill. Euro. Diese Schwellen werden dadurch weit ausgelegt, dass der Gesetzgeber verbundene Unternehmen einbezieht. Einschränkend sieht die deutsche Gesetzesbegründung vor, dass bei den Schwellenwerten nur die jeweiligen Geschäftsbereiche vollständig und Querschnittsbereiche wie HR nur anteilig berücksichtigt werden. Eine Auslagerung der regulierten Geschäftsbereiche in reine Servicegesellschaften befreit aber in den meisten Fällen nicht von der Anwendbarkeit.

Die zweite Herausforderung ist die Ermittlung der konkreten Pflichten. Zentral ist die Umsetzung von Mindestanforderungen an das technische und organisatorische IT-Risikomanagement mit entsprechender Dokumentation. Hier soll es (derzeit noch nicht bekannte) Anforderungskataloge der EU oder des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geben.

Unternehmen müssen hier auch ihre Vertragsbeziehungen zu Lieferanten überdenken, da diese in das Risikomanagement einzubeziehen sind und mit den IT-Risiken eng verbunden sein können. Für Lieferanten bedeutet dies, dass sie möglicherweise mittelbar Pflichten unterfallen. Schließlich gibt es Registrierungspflichten und Meldepflichten von IT-Sicherheitsvorfällen. Dafür müssen interne Strukturen und Zuständigkeiten aufgebaut oder angepasst werden. Nach der Gesetzesbegründung erstrecken sich diese Anforderungen auf sämtliche Unternehmensbereiche, z.B. auch die allgemeine Büro-IT. Diese weite Anwendung wird im Gesetzgebungsverfahren oder der späteren Anwendung sicherlich noch heiß umkämpft sein, soweit durch IT-Risiken die Versorgungssicherheit von Deutschland – so das erklärte Schutzziel des Gesetzes – nicht gefährdet wird.

Die dritte Herausforderung ergibt sich aus der Aufsicht und der Haftung der Unternehmen. Zunächst kann das BSI die Unternehmen kontrollieren und Nachweise der Umsetzung anfordern, wobei hier die Umsetzungsfristen im Gesetzentwurf nicht hinreichend klar sind.

Festgestellte Verstöße können zu Bußgeldern von bis 2% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen, wobei auf den Konzernumsatz abgestellt wird.

Auch die Geschäftsleitung selbst treffen explizite Pflichten und eine Haftung. Die Geschäftsleitung muss sich selbst regelmäßig zu Fragen der IT-Sicherheit schulen lassen − laut Gesetzesbegründung zumindest vier Stunden jährlich. Sie muss Risikomanagementmaßnahmen einführen und deren Umsetzung überwachen. Eine Delegation von Aufgaben ist wahrscheinlich möglich, aber die Letztverantwortlichkeit bleibt bei der Geschäftsleitung. Ein Verzicht des Unternehmens auf die Geltendmachung von Ersatzansprüchen gegen die Geschäftsleitung ist immer ausgeschlossen und ein Vergleich nur, wenn er nicht unverhältnismäßig ist. Entsprechend dürften sich Fragen zum Umfang der D&O-Versicherungen stellen.