von Vanessa Mengelkamp, wissenschaftliche Mitarbeiterin

Bereits über 200 Milliarden Euro Schaden durch Cyberkriminalität für die deutschen Unternehmen. 9 von 10 Unternehmen werden Opfer von Datendiebstahl, Spionage oder Sabotage. Ihr Unternehmen könnte auch betroffen sein.

Die EU unternahm mit der Verabschiedung der NIS 2- Richtlinie einen wichtigen Schritt in Richtung Cybersicherheit. Gleichzeitig stellt sie aber höhere Anforderungen an mehr Unternehmen und impliziert eine schärfere Haftung der Verantwortlichen, so auch des Geschäftsführers.

Was ist die NIS 2-Richtlinie?

Am 16. Januar 2023 trat die neue Richtlinie zur Erhöhung des gemeinsamen Cybersicherheitsniveaus der Mitgliedsstaaten der EU in Kraft. Ziel ist die Stärkung der Fähigkeiten von Unternehmen Cybervorfälle vorzubeugen bzw. ihnen standzuhalten - Cyberresilienz. Bis zum Oktober 2024 muss sie durch die Mitgliedsstaaten in nationales Recht umgesetzt werden. Dies geschieht hier in Deutschland durch das NIS2UmsetzungsG, welches gerade in der Entstehung ist.

Wer ist betroffen?

Der Anwendungsbereich wird durch komplexe und verweisungslastige Definitionen abgesteckt. Unterteilt soll er letztlich in kritische Anlagen, besonders wichtige Anlagen und wichtige Einrichtungen werden.
Durch diese teilweise neu hinzugekommenen Sektoren sind deutlich mehr Unternehmen von der NIS2 erfasst als durch die vorherigen Regelungen.
So sind zunächst Unternehmen die in den Sektoren Energie, Transport, Verkehr, Finanzwesen, Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von Diensten der Informations- und Kommunikationstechnologie, öffentliche Verwaltung, Post- und Kurierdienste, Ernährung, Informationstechnik, Telekommunikation, Weltraum, Produktion (Herstellung und Handel mit chemischen Stoffen, Verarbeitung Vertrieb von Lebensmitteln), Verarbeitendes Gewerbe bzw. Herstellung von Waren und Siedlungsabfallentsorgung.

Die Einordnung der Unternehmen in den Anwendungsbereich ist nicht nur an diese zahlreichen Sektoren gebunden, sondern auch an Mitarbeiterzahlen und die Höhe des Jahresumsatzes.

Im Ergebnis könnten beispielsweise Pflegedienste als mittlere Unternehmen d.h. mit mehr als 50 Mitarbeitern und/oder einem Jahresumsatz von über 10 Millionen EUR dem Anwendungsbereich unterliegen. So auch mittlere Unternehmen die Fahrräder, elektrische Haushaltsgeräte, Getrieben oder Zahnrädern herstellen.

Für Unternehmen gilt es eigenständig zu prüfen ob und in welcher Kategorie sie in den Anwendungsbereich des Gesetzes fallen.

Was muss getan werden?

Die zu erfüllenden Pflichten richten sich nach der Einordnung des Unternehmens als kritische Anlage, besonders wichtige Einrichtung oder wichtige Einrichtung. Dennoch lässt sich festhalten, dass ein funktionierendes Risikomanagementsystem der Grundpfeiler zur Verbesserung der Informationssicherheit ist. Unternehmen müssen ihre Risiken systematisch analysieren und bewerten. Dann können gezielte Maßnahmen ergriffen werden, um potenzielle Schwachstellen abzuschwächen. Dies beinhaltet, auf mögliche Angriffe vorbereitet und verschiedene Möglichkeiten entsprechend schnell auf Sicherheitsvorfälle reagieren zu können. Außerdem müssen Strategien und Maßnahmen entwickelt werden um Sicherheitsvorfälle zu melden und angemessen zu behandeln.
Unternehmen, die als Betreiber Kritischer Anlagen dem Anwendungsbereich der NIS 2 unterliegen, müssen das BSI unverzüglich über relevante Vorfälle, Störungen und Bedrohungen unterrichten.
Zudem müssen Unternehmen ein effektives Sicherheitsprogramm mit klaren Richtlinien und Verfahrensvorschriften für den Umgang mit Sicherheitsvorfällen implementieren.

Der Geschäftsleiter von besonders wichtigen Einrichtungen und wichtigen Einrichtungen muss regelmäßig an Schulungen teilnehmen, um Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben. Zudem treffen den Geschäftsleiter eben dieser Einrichtungen Überwachungs- und Billigungspflicht in Bezug auf Risikomanagementmaßnahmen, die nicht an Dritte delegiert werden dürfen.

Welche Folgen hat ein Verstoß?

Auch die zu befürchtenden Sanktionen hängen von der Einordnung des betreffenden Unternehmens in die einzelnen Kategorien hab.

Für kritische Anlagen und besonders wichtige Einrichtungen können Bußgelder von bis zu 10 Mio. EUR oder 2% des weltweiten Vorjahresumsatzes fällig werden.
Wichtige Einrichtungen können bis zu 7 Mio. EUR oder 1,4 % des Umsatzes zahlen müssen.

Besonderheiten finden sich bei der Haftung der Leitungsorgane. Geschäftsführer sollen für Verletzungen ihrer Pflichten der Gesellschaft gegenüber haften.

Gegenüber der Gesellschaft ist grundsätzlich kein Verzicht auf Ersatzansprüche möglich, zudem wäre ein Vergleich unwirksam. Dieser ist nur wirksam, wenn der haftende Geschäftsführer zahlungsunfähig und der Vergleich zur Abwendung Insolvenzverfahren notwendig ist oder die Ersatzpflicht in einem Insolvenzplan geregelt ist.

Fazit

Insgesamt bleibt abzuwarten, wie der nationale Gesetzgeber die Vorgaben der EU umsetzt.
Unternehmen müssen eigenständig einschätzen, ob sie dem Anwendungsbereich des Gesetzes unterliegen.

Selbst, wenn Ihr Unternehmen nicht von dem Anwendungsbereich der NIS2- Richtline bzw. den neuen deutschen Gesetzen dazu erfasst ist, lohnt sich die Auseinandersetzung mit dem Thema Cybersicherheit.



Vanessa Mengelkamp
Team Compliance