Bei Verstoß Gefängnis? IT-Sicherheit muss bei Führungskräften Priorität haben.
Mit der NIS2-Richtlinie müssen Geschäftsführer und CEOs betroffener Unternehmen IT-Sicherheit auf der Agenda eine höhere Priorität einräumen. Was müssen diese beachten? Wie sieht es mit der Haftung aus und welche Strafen drohen? Diese und weitere Fragen bespricht Christian Lueg in der aktuellen Folge von WeTalkSecurity mit dem IT-Rechtsanwalt Stefan Sander.
Stefan Sander ist „Fachanwalt für Informationstechnologierecht“. Aufgrund seiner Doppelqualifikation – abgeschlossenes IT-Studium und Fachanwalt für IT-Recht in einer Person – ist Stefan deutschlandweit gefragter Ansprechpartner für rechtliche Themen rund um IT und Datenschutz. Seit 2015 hat er zusammen mit Rechtsanwalt Heiko Schöning die Kanzlei SDS Rechtsanwälte in Duisburg (https://sds.ruhr/).
In Zusammenarbeit mit Stefan Sander hat ESET ein Whitepaper zum Thema "Stand der Technik in der IT-Sicherheit" herausgebracht. Das Paper gibt es hier zum kostenlosen Download: https://www.eset.com/de/stand-der-technik/
Generell ist die NIS2-Richtlinie eine Richtlinie der Europäischen Union. Die Richtlinie ist eine Art von Gesetz. Im Gegensatz zu einer Verordnung ist eine Richtlinie ein Gesetz, was sich an den Nationalstaat richtet. Deutschland hat in diesem Fall die Aufgabe ein nationales Gesetz zu erlassen, was im Einklang mit dieser Richtlinie steht.
Es geht bei der NIS2-Richtlinie thematisch um die Vereinheitlichung und Erhöhung des Sicherheitsniveaus bei Netzwerk- und Informationstechnik. Die Ziffer 2 verrät, dass es bereits eine NIS1-Richtlinie gab. Der Gesetzgeber will in diesem Fall die Gesetzgebung komplett überarbeiten und reagiert auf die fortschreitende Digitalisierung.
Aus dem kommenden deutschen Gesetz ergibt sich dann die Vorgaben für Unternehmen und andere Teilnehmer des Rechtsverkehrs. Die Gesetzgeber (Bund und Länder) haben aber die Option über die Richtlinie hinauszugehen und höhere Standards zu definieren. Das bedeutet, dass die Richtlinie lediglich einen gemeinsamen Nenner innerhalb der Europäischen Union bildet. Gerade beim Thema Haftung sind die bisher bekannten Vorlagen deutlich schärfer gefasst.
Mitte Oktober 2024 soll diese Richtlinie in Kraft treten und die Vorschriften sind anzuwenden. Eine Übergangsphase wird es nicht geben. Bisher hat das förmliche Gesetzgebungsverfahren noch nicht begonnen. Bisher sind nur Referentenentwürfe bekannt, was aber bei weitem noch nicht dieses Verfahren berührt. Stefan Sander ist guter Dinge, dass das Gesetz bis Oktober verabschiedet wird und so klare Vorgaben für alle Betroffenen definiert.
Unternehmen können derzeit noch nicht endgültig bestimmen, ob sie betroffen sind. Dennoch lässt die NIS2-Richtlinie erste Schlüsse zu, ob man betroffen ist. Hierbei sind bereits Sektoren definiert. Von der Europäischen Kommission gibt es einen Benutzerleitfaden für eine KMU-Empfehlung. Diesen gibt es hier: https://www.bmwk.de/Redaktion/DE/Textsammlungen/Mittelstand/europaeische-mittelstandspolitik.html#:~:text=Nach%20der%20Empfehlung%20der%20Europ%C3%A4ischen,Jahresumsatz%20von%20h%C3%B6chstens%2050%20Mio. Der Benutzerleitfaden ist in deutscher Sprache hier erhältlich: https://ec.europa.eu/docsroom/documents/42921/attachments/1/translations/de/renditions/native
Wichtig ist es, dass dort nicht nur Einzelunternehmen beachtet werden, sondern auch Tochterfirmen.
Spannend wird es, wie die Lieferkette in diesen Prozess eingebunden wird. Gerade, wenn NIS regulierte Unternehmen Systeme haben, die mit anderen Betrieben verbunden sind. Daher wird das Thema technische Sicherheit Einzug halten in die Vertragswerke mit der Lieferkette.
Aber wie sieht es mit dem Management eines Betriebes aus? Bereits heute gibt es eine Haftungsgrundlage für Geschäftsführer beispielsweise bei einer GmbH, auch bei der IT-Sicherheit. Mit NIS2 wird die technische Grundlage für die IT-Sicherheit klar definiert. Vorstände und Geschäftsführer müssen Pflichten beachten und diesen nachgehen. Im Referentenentwurf wird der interne Haftungsanspruch gegen Geschäftsführer härter ausgelegt. Es darf dann nicht mehr zu Vergleichen kommen, d.h. Regressansprüche bei Schäden durch Cyberangriffe können nicht mehr über einen Kompromiss geregelt werden, sondern müssen vor Gericht gehen. Stefan geht davon aus, dass diese zu einer deutlichen Mehrbelastung der Gerichte führen wird. Auch Versicherer werden Schäden dann erst regulieren, wenn ein klarer Verursacher feststeht. Es bleibt hier abzuwarten wie der Gesetzgeber das final bewertet.
Der IT-Sicherheitsverband Teletrust hat einen offenen Brief an den IT-Planungsrat veröffentlicht, der sich um die Einbindung der staatlichen Verwaltung in diese NIS2-Gesetzgebung richtet. (https://www.teletrust.de/startseite/news/?tx_ttnews%5Btt_news%5D=1604&cHash=f1ef0aceccae46739a4203b58ae91406) Hintergrund ist, dass derzeit Behörden nicht darüber reguliert werden sollen, was der Verband als ein Unding ansieht. Stefan sieht ebenfalls dies kritisch, weil Unmengen persönlicher Daten durch die öffentliche Verwaltung verarbeitet wird. Leider hat die NIS2-Richtlinie die Verankerung der öffentlichen Verwaltung darin den Mitgliedsstaaten überlassen. Wegen der föderalen Struktur in Deutschland gibt es den IT-Planungsrat, um einheitliche Standards für Länder und Kommunen zu definieren. Der IT-Planungsrat hat im November eine Empfehlung herausgegeben, dass Kommunen nicht über die NIS2-Richtlinie reguliert werden. Stefan sieht dies als völlig falschen Ansatz, wie auch der Teletrust in seinen offenen Brief feststellt. Dies kann auch Schäden für die Wirtschaft bedeuten, wenn beispielsweise ein Straßenverkehrsamt wegen Cyberangriffen keine Autos zulassen können. Gerade die letzten Monate haben deutlich gezeigt, dass Cyberangriffe auf Kommunen massive Auswirkungen haben können. Stefan spricht hier von einer „bodenlos schlechten IT-Sicherheit im öffentlichen Bereich“ die Bürgerinnen und Bürger täglich erdulden müssen. Stefan hat Hoffnung, dass die Gesetzgeber dies anders sehen und der Empfehlung des Planungsrats nicht folgen. Er nennt hier Mecklenburg-Vorpommern als Beispiel, wo Cyberangriffe zu großen Diskussionen geführt haben und hohe Priorität genießen.
Bei kommunalen Betrieben, wie Energieversorger etc., ist die Definition recht simpel. Diese müssen sich als Teil eines Sektors der NIS2-Richtlinie fügen. Mit öffentlicher Verwaltung ist speziell die Verwaltung gemeint, wie Elterngeldstelle, Standesamt etc.
Was sind die Tipps von Stefan Sander?
Stefan empfiehlt Budget bereitzustellen, eine Gap-Analyse zu machen und nachzubessern, um die eigene IT-Sicherheit auf die Anforderungen der NIS2-Richtlinie anzupassen. Am besten sollte man damit umgehend starten. Solche Projekte sind nicht in wenigen Tagen umgesetzt.
Er empfiehlt den Artikel 21, Absatz 2 zu lesen, dort gibt es einen Hinweis was das Ziel sein sollte. Die NIS2-Richtlinie gibt es hier: https://eur-lex.europa.eu/eli/dir/2022/2555
