Im Zuge der Umsetzung der EU-Richtlinie zur Erhöhung der Cybersicherheit in nationales Recht liegt seit wenigen Tagen ein neuer Referentenentwurf vor. Das geplante Gesetz bringt eine Reihe von einschneidenden Änderungen für zahlreiche Unternehmen mit sich.
Am 16. Januar 2023 ist die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU (NIS-2) in Kraft getreten. Sie modernisierte den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung und einer sich entwickelnden Bedrohungslandschaft für Cybersicherheit Schritt zu halten. Zu diesem Zweck soll in Deutschland das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) erlassen werden, für das nun ein aktualisierter Referentenentwurf mit dem Stand 07. Mai 2024 vorliegt. Das NIS2UmsuCG sieht vor, dass unter anderem die durch die NIS-2 vorgegebenen Einrichtungskategorien eingeführt werden, die mit einer signifikanten Ausweitung des bisher auf Betreiber kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht. Voraussetzung ist nach derzeitigem Stand, dass ein Unternehmen mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz von über 10 Millionen Euro aufweist und damit als »wichtige Einrichtung« im Sinne des NIS2UmsuCG gilt; als »besonders wichtig« und damit verschärft handlungspflichtig gelten Unternehmen, die mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Millionen Euro aufweisen. Registries oder DNS-Diensteanbieter gelten in jedem Fall als besonders wichtige Einrichtung. Nach ersten Schätzungen betrifft das NIS2UmsuCG rund 30.000 Unternehmen in Deutschland. Kommunale Behörden sollen wie gefordert ausgeschlossen sein.
Auf erhebliche Änderungen muss sich die Führungsebene eines Unternehmens einstellen. Mit der NIS-2 wird Cybersicherheit zentrale Aufgabe der Geschäftsleitung, denn sie muss eine Reihe von geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen ergreifen, um Störungen von IT-Systemen zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Sie sollen den Stand der Technik einhalten, europäische und internationale Normen berücksichtigen und auf einem gefahrenübergreifenden Ansatz beruhen. Als Mindestanforderungen genannt werden unter anderem Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik, Aufrechterhaltung des Betriebs wie Backup-Management und Wiederherstellung nach einem Notfall und Krisenmanagement, Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen sowie Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung. Außerdem gelten erweiterte Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten. Auch bei der Einschaltung von Hilfspersonen bleibt das Leitungsorgan letztverantwortlich. Bereits bestehende Verpflichtungen aus § 43 Abs. 2 GmbHG und § 93 Abs. 2 AktG werden durch die NIS-2 also erweitert. Unterbleiben solche Maßnahmen, haften die Geschäftsleiter persönlich dem Unternehmen gegenüber auf Schadensersatz. Ein Verzicht auf Schadensersatzansprüche oder ein Vergleich hierüber soll nach dem Willen des Gesetzgebers unwirksam sein. Zur Einhaltung dieser Verpflichtungen werden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) außerdem weitgehende Befugnisse eingeräumt, die bis zur vorübergehenden Untersagung der Geschäftsführungsbefugnis reichen können.
Die NIS-2 muss bis zum 17. Oktober 2024 von jedem der 27 EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Nach Einschätzung von heise.de kann Deutschland diesen Termin nicht mehr halten. Die Bundesrepublik befinde sich in Gesellschaft weiterer EU-Mitgliedstaaten, die ebenfalls nicht termingerecht umsetzen werden.