Nach der Verabschiedung der Network-and-Information-Security-Richtlinie 2.0 (NIS-2-Richtlinie) Ende 2022 werden Unternehmen in bestimmten Wirtschaftsbereichen und ab einer gewissen Größe verpflichtet werden, Maßnahmen zur Gewährleistung von Cybersicherheit zu ergreifen. Auch für Geschäftsführer persönlich entsteht hierdurch ein erhebliches Haftungsrisiko.
Die Umsetzung der NIS-2-Richtlinie erfolgt nun über das deutsche Cybersicherheitsstärkungsgesetz. Wir erläutern den Handlungsbedarf für Ihr Unternehmen und liefern Empfehlungen für die Praxis.
Umsetzungsstand und Ziel des Gesetzes
Nach viel diskutierten Referentenentwürfen des Cybersicherheitsstärkungsgesetzes wurde der Regierungsentwurf am 24.07.2024 verabschiedet. Damit werden die europäischen Vorgaben der NIS-2-Richtlinie umgesetzt. Die Verkündung des Gesetzes steht noch aus. Bis Oktober 2024 muss jedoch eine Umsetzung erfolgt sein.
Mit dem Gesetz werden Pflichten zur Umsetzung von Cybersicherheitsmaßnahmen und Meldung von Cyberangriffen ausgeweitet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält weitergehende Kompetenzen.
Künftig müssen Unternehmen in einer größeren Anzahl von Sektoren Mindestvorgaben für die Cybersicherheit erfüllen und Meldepflichten bei Cybervorfällen einhalten. Damit soll das Sicherheitsniveau erhöht und das Risiko für Unternehmen, Opfer von Cyberangriffen zu werden, gesenkt werden. Zugleich ergibt sich hieraus ein größerer Anpassungsbedarf für Unternehmen.
Wichtige Regelungen im Überblick
Die folgenden Regelungen sind dabei die Kernbestandteile des Cybersicherheitsstärkungsgesetzes:
- Der Anwendungsbereich wird auf „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ ausgedehnt und löst die frühere Bezugnahme auf Betreiber kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse ab. Selbst ohne Tätigkeit in essentiellen Infrastruktur-Bereichen können Unternehmen ab 50 Mitarbeitern oder bei mehr als 10 Mio. Euro Jahresumsatz betroffen sein. Ob Sie in den Anwendungsbereich der gesetzlichen Vorgaben fallen, können Sie über die Betroffenheitsprüfung des BSI herausfinden. Dort sehen Sie auch, welche Vorgaben Sie damit betreffen.
- Betroffene Unternehmen müssen sich bei der zuständigen Behörde registrieren. Hilfreich ist wegen anzulegender gesetzlicher Klassifikationen die Unterstützung durch einen Experten.
- Das Gesetz verpflichtet zur Umsetzung von Maßnahmen im Rahmen eines Cybersicherheitsrisikomanagements. Es übernimmt den Katalog an Mindestsicherheitsanforderungen der NIS-2-Richtlinie, der je nach Kategorisierung des Unternehmens anzuwenden ist. Enthalten sind u. a. Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management und Konzepte zum Einsatz von Verschlüsselung. Auch die Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen ist beachtlich.
- Relevante Sicherheitsvorfälle in Bezug auf Cyber- und Informationssicherheit sind zu melden. Hierbei ist ein dreistufiges Meldesystem zu beachten: die Erstmeldung binnen 24 Stunden, ein Update binnen 72 Stunden und ein Abschlussbericht binnen eines Monats.
Hinzu kommt ein neuer Bußgeldrahmen für das Bundesamt für Sicherheit in der Informationstechnik, um Verstöße gegen die gesetzlichen Vorgaben spürbar unattraktiver zu machen. Der Gesetzesentwurf sieht Bußgelder bis 10 Mio. Euro oder 2 % des Jahresumsatzes vor. Unternehmen sollten sich also bereits jetzt mit den zu erwartenden gesetzlichen Vorgaben auseinandersetzen.
Umsetzung in der Praxis
Als betroffenes Unternehmen können Sie sich vorbereiten, um den Umsetzungsaufwand ab Geltung des Cybersicherheitsstärkungsgesetzes – ggf. schon im Oktober 2024 – besser zu verteilen:
- Prüfen Sie Ihre Betroffenheit.
- Legen Sie Verantwortlichkeiten fest und sorgen Sie für fachmännische Unterstützung.
- Analysieren Sie Risiken und Handlungsbedarf mit Blick auf die Anforderungen des NIS-2-Kataloges.
- Gehen Sie erforderliche Anpassungsmaßnahmen bereits jetzt an.
- Richten Sie Prozesse zur Erfüllung Ihrer Meldepflichten ein.
- Gewährleisten Sie ein fortlaufend hohes Cybersicherheitsniveau.
Die Geschäftsleitung ist gesetzlich verpflichtet, an der Umsetzung jener Prozesse mitzuwirken. Andernfalls stellen sich auch persönliche Haftungsfragen.
Weitere Details finden Sie auch in den Handlungsempfehlungen des BSI.