Dringender Handlungsbedarf für Unternehmen im Bereich Cyber-Compliance: Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz vom 22.07.2024 veröffentlicht.
Bereits im Jahr 2022 wurde die EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) beschlossen. Die Mitgliedsstaaten müssen diese Richtlinie bis Oktober 2024 in nationales Recht umsetzen. Im deutschen Gesetzgebungsverfahren wurde zwischenzeitlich der Regierungsentwurf vom 22.07.2024 veröffentlicht. Ob die Umsetzung der NIS-2-Richtlinie in Deutschland vor diesem Hintergrund noch fristgerecht erfolgen kann, bleibt abzuwarten.
Den zukünftig unter das NIS-2-Gesetz fallenden Unternehmen kann vom Abwarten jedoch nur abgeraten werden: Das Gesetz soll nach dem derzeitig vorliegenden Entwurf am Tag nach der Verkündung in Kraft treten. Umsetzungsfristen sind nicht vorgesehen, da – so die Begründung im Gesetzesentwurf – die maßgeblichen Inhalte und Verpflichtungen bereits durch die NIS-2-Richtline bekannt seien. Die betroffenen Unternehmen sollten sich mithin umgehend mit dem aktuellen Gesetzesentwurf sowie der NIS-2-Richtlinie vertraut machen.
Welche Unternehmen zukünftig betroffen sind, ergibt sich aus Art. 1, § 28 BSIG-E (sog. wichtige und besonders wichtige Einrichtungen). Vereinfach dargestellt handelt es sich um Unternehmen, die in kritischen Wirtschaftsbereichen tätig sind, mehr als 50 Mitarbeiter beschäftigen und mehr als 10 Mio. EUR erwirtschaften. Zu den kritischen Wirtschaftsbereichen zählen insbes. die Sektoren Energie; Transport und Verkehr; Finanzwesen; Gesundheit; Wasser; Digitale Infrastruktur; Weltraum; Abfallbewirtschaftung; Produktion, Herstellung und Handel mit chemischen Stoffen; Produktion, Verarbeitung und Vertrieb von Lebensmitteln; Verarbeitendes Gewerbe/Herstellung von bestimmten Waren (insb. Medizinprodukten und Invitrodiagnostika, Datenverarbeitungsgeräten, elektrischen Ausrüstungen, Maschinenbau, Kraftwagen und Kraftwagenteilen); Anbieter digitaler Dienste sowie Forschungseinrichtungen.
Die konkreten Pflichten der betroffenen Unternehmen ergeben sich aus Art. 1, § 30 ff. BSIG-E. Sie sind insbesondere verpflichtet, ein Cyber-Compliance-System zu installieren, welches geeignet, verhältnismäßig und dem Stand der Technik entsprechend ist. Sie müssen sich beim zuständigen Bundesamt registrieren und bei Sicherheitsvorfällen Melde- und Unterrichtungspflichten erfüllen.
Besondere Beachtung verdient auch die ausdrückliche Regelung in Art. 1, § 38 BSIG-E: Geschäftsleitungen sind zur Umsetzung und Überwachung des Cyber-Compliance-Systems verpflichtet; verletzen sie diese Pflichten, haften sie der Gesellschaft für schuldhaft verursachte Schäden persönlich.
Sofern Sie Hilfe bei der Beurteilung der Frage, ob Ihr Unternehmen unter die NIS-2-Richtlinie und den entsprechenden Gesetzesentwurf fällt, oder der Einführung eines entsprechenden Cyber-Compliance-Systems benötigen, stehen wir Ihnen selbstverständlich gerne zur Verfügung.