Für rund 30.000 Unternehmen in Deutschland rücken die verschärften IT-Sicherheitsvorkehrungen aus der NIS-2 näher: seit Ende Juni 2024 liegt der vierte Referentenentwurf für ein Gesetz zur Umsetzung der EU-Richtlinie in nationales Recht vor.
Am 16. Januar 2023 ist die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU (Network and Information Security 2, kurz: NIS-2) in Kraft getreten. Im Rahmen der Umsetzung der NIS-2 in nationales Recht soll in Deutschland das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) erlassen werden. Der erste Referentenentwurf wurde im April 2023 vorgestellt; am 24. Juni 2024 folgte nun der vierte Entwurf. Dabei steht schon jetzt fest: Mit der NIS-2 kommen auf zahlreiche Unternehmen neue Auflagen im Bereich Cybersicherheit zu. Im Mittelpunkt stehen sogenannte Risikomanagementmaßnahmen. Was damit gemeint ist, ist nach wie vor nicht abschließend definiert, sondern lediglich konkretisiert. Die NIS-2 setzt hierzu Mindeststandards für solche Risikomanagementmaßnahmen, die erfüllt werden müssen. Dazu zählen organisatorische und technische Maßnahmen, um Daten und Systeme gegen Angriffe zu schützen. Erwähnt wird unter anderem die Erstellung einer Risikoanalyse, Krisenmanagement (»Incident-Response-Plan«), Backup-Management, Konzepte und Verfahren für den Einsatz von Kryptografie sowie Schulungen von Mitarbeitern im Bereich der IT-Sicherheit. Umso wichtiger ist es, dass sich Unternehmen frühzeitig mit den Anforderungen der NIS-2 vertraut machen und die notwendigen Maßnahmen zu deren Umsetzung ergreifen. Die wirtschaftlichen Auswirkungen des NIS2UmsuCG verdeutlichen auch die geschätzten Kosten; der Gesetzesentwurf geht davon aus, dass sich der jährliche Erfüllungsaufwand für die Wirtschaft um rund EUR 2,2 Mrd. erhöht; insgesamt soll einmaliger Aufwand von rund EUR 2,1 Mrd. entstehen. Dieser sei fast ausschließlich der Kategorie Einführung oder Anpassung digitaler Prozessabläufe zuzuordnen.
Keine Änderungen haben sich durch den vierten Gesetzesentwurf im geplanten Anwendungsbereich des NIS2UmsuCG ergeben. Voraussetzung ist daher, dass ein Unternehmen mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über EUR 10 Mio. aufweist und damit als »wichtige Einrichtung« im Sinne des NIS2UmsuCG gilt; als »besonders wichtig« und damit verschärft handlungspflichtig gelten Unternehmen, die mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über EUR 50 Mio. und zudem eine Jahresbilanzsumme von über EUR 43 Mio. aufweisen. Eine vorsichtige Lockerung zeichnet sich im Bereich der Überwachungs- und Schulungspflicht für Geschäftsleitungen ab. Sie sollen zwar verpflichtet bleiben, Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen; auch bei Einschaltung von Hilfspersonen bleibt das Leitungsorgan letztverantwortlich. Nach dem neuen § 38 Abs. 2 haben Geschäftsleitungen, die ihre Pflichten verletzen, ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts einzustehen; eine Haftung nach dem NIS2UmsuCG soll nur greifen, wenn die für die Einrichtung maßgeblichen gesellschaftsrechtlichen Bestimmungen keine entsprechende Haftungsregelung enthalten. Das bisher geplante Verbot, auf solche Ersatzansprüche verzichten zu können, ist im vierten Referentenentwurf aber gestrichen, ebenso das Verbot, einen in einem groben Missverhältnis zu einer bestehenden Ungewissheit stehenden Vergleich zu schließen; sowohl ein Verzicht als auch ein Vergleich wären demnach grundsätzlich möglich. Unverändert bleibt auch die Pflicht für Registries, genaue und vollständige Registrierungsdaten im Einklang mit dem Datenschutzrecht mit der gebotenen Sorgfalt zu sammeln und zu pflegen. Die Behörden können die Erfüllung dieser Vorgaben überprüfen.
Zum weiteren zeitlichen Ablauf gilt, dass am 24. Juli 2024 – also inmitten der parlamentarischen Sommerpause – der NIS2UmsuCG-Entwurf von der Bundesregierung beraten werden soll; das lässt sich jedenfalls dem Kabinettzeitplan vom 21. Juni 2024 entnehmen. Dies spricht dafür, dass der 4. Referentenentwurf der Endfassung sehr nahekommt. Das Blog nis2-navigator.de berichtet weiter, dass die NIS-2 zwar bis zum 17. Oktober 2024 von jedem der 27 EU-Mitgliedsstaaten in nationales Recht umgesetzt werden muss; man gehe jedoch davon aus, dass es sowohl in Deutschland als auch in weiteren EU-Mitgliedsstaaten zu Verspätungen kommen wird.