NIS2: Neue Cybersicherheitspflichten für Unternehmen inkl. Haftung der Geschäftsleitung
NIS2: Neue Cybersicherheitspflichten
Vor diesem Hintergrund ist am 16. Januar 2023 die Network-and-Information-Security-2- oder NIS2-Richtlinie (Richtlinie [EU] 2022/2555) in Kraft getreten. Zielsetzung ist, einen rechtlichen Rahmen zu schaffen, um das Gesamtniveau der Cybersicherheit in der Europäischen Union zu steigern.
Allerdings bedarf die NIS2-Richtlinie noch der Umsetzung durch die nationalen Gesetzgeber: Derzeit liegt ein Entwurf eines Umsetzungsgesetzes („NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“) vom 7. Mai 2024 vor. Endgültig in Kraft treten wird das Gesetz spätestens zum 17. Oktober 2024.
Kern der Regelung ist eine vollständige Überarbeitung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Im Vergleich zu den bisherigen Regelungen für kritische Infrastrukturen findet eine starke Ausdehnung auf weitere Branchen statt.
NIS2 definiert abhängig von Unternehmensgröße bzw. -umsatz und nach Kritikalität des Wirtschaftssektors wichtige und besonders wichtige Einrichtungen sowie wie bisher kritische Anlagen. Von dieser Einstufung hängen Geltung und Pflichten bzgl. Cybersicherheitsmaßnahmen ab.
Nachfolgende Übersichten geben einen Überblick über die Kategorien der betroffenen Einrichtungen:
Risikomanagementmaßnahmen beinhalten dabei folgende umzusetzende Punkte:
- Konzepte in Bezug auf Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs (Backup Management, Wiederherstellung nach einem Notfall, Krisenmanagement)
- Sicherheit der Lieferkette und zwischen einzelnen Einrichtungen sowie ihren unmittelbaren (Dienste-)Anbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- Verwendung von Lösungen zur Multifaktor Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Aufgrund der Komplexität der involvierten Themen ist eine GAP-Analyse des Ist-Stands dieser Maßnahmen im Unternehmen und frühzeitige Umsetzung von ggf. fehlenden Maßnahmendringend empfohlen. Dabei sei insbesondere auf die Geschäftsleitungshaftung hingewiesen: Geschäftsleiter*innen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen zur Einhaltung von § 30 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.
Die Beauftragung eines Dritten zur Erfüllung der Verpflichtungen ist nicht zulässig. Geschäftsleiter*innen, die ihre Pflichten nach Absatz 1 verletzen, haften der Einrichtung für den entstandenen Schaden.
Dies ist ein Beitrag aus unserem Public Sector Newsletter 2-2024. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.