Auswirkungen des NIS-2 Gesetzes auf Unternehmen

Ein Unternehmen fällt in den Anwendungsbereich des NIS-2, wenn es entweder eine „besonders wichtige Einrichtung“ oder „wichtige Einrichtung“ oder eine kritische Anlage ist. Gerade Anpassungen des Gesetzes zur Sicherheit für Informationstechnik (BSI-Gesetz) als ein Teil des NIS-2 Umsetzungsgesetzes und der damit verbundenen erweiterten Haftung können kommunale Unternehmen vor Herausforderungen stellen.

Der letzte Referentenentwurf für die Umsetzung des NIS-2 liegt seit Ende 2023 vor. Trotz seitdem ausführlicher Abstimmung dazu ist seitdem nichts Neues zum Zeitpunkt des Erlasses bekannt. Fest steht jedoch, dass der Anwendungsbereich mit der Größe des Unternehmens zusammenhängt. Dementsprechend können auch kommunale Unternehmen betroffen sein. Maßgeblich dafür sind nun Mitarbeiterzahl und Umsatz. Zusätzlich zu den überarbeiteten Regulierungen für kritische Infrastrukturen und den Neuerungen des BSI-Gesetzes kommen jetzt umfangreiche Anpassungen auf Unternehmen zu.

Um feststellen zu können, wo bestimmte Unternehmen einzuordnen sind, wurden „Sektoren besonders wichtiger und wichtiger Einrichtungen“ und „Sektoren wichtiger Einrichtungen“ definiert.

Zu „Sektoren besonders wichtiger und wichtiger Einrichtungen“ zählen folgende Sektoren: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Wasser und Abwasser, Informationstechnik und Telekommunikation sowie Weltraum. Unklar ist noch, welche Dienstleistungen mit „Erbringer von Gesundheitsdienstleistungen“ gemeint sind. Denkbar ist, dass nun auch der kommunale Rettungsdienst als besonders wichtige Einrichtung definiert wird. Auch Betreiber kommunaler Rechenzentren oder Cloud-Computing-Dienste zählen zu den „Sektoren besonders wichtiger und wichtiger Einrichtungen“.

„Sektoren wichtiger Einrichtungen“ betrifft diese Sektoren: Transport und Verkehr, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Lebensmittelproduktion, -vertrieb und -handel, Verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste sowie Forschung. Hier dürften nun auch die größeren kommunalen Abfallwirtschaftsverbände betroffen sein.

Zum „Sektor öffentliche Verwaltung“ ist im neusten Entwurf nichts mehr enthalten. Der Anwendungsbereich beschränkt sich auf Einrichtungen der Bundesverwaltung. Hierunter fallen Stellen des Bundes, Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie ihre Vereinigungen auf Bundesebene, sowie öffentliche Unternehmen, die mehrheitlich im Eigentum des Bundes stehen und die IT-Dienstleistungen für die Bundesverwaltung erbringen.

Der Entwurf des NIS-2 Umsetzungsgesetzes verschärft Pflichten der Aufsichts- und Durchsetzungsmaßnahmen der Einrichtungen sowie auch der Geschäftsleiter. Innerhalb von drei Monaten müssen sich die „besonders wichtigen Einrichtungen“ und „wichtige Einrichtungen“ beim BSI registrieren und geeignete technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden und die Auswirkungen von Sicherheitsvorfällen zu minimieren. Hierbei sind Faktoren wie etwa die Schwere der Vorfälle, die Größe des betroffenen Unternehmens sowie gesellschaftliche und wirtschaftliche Auswirkungen zu berücksichtigen.

Beim Einsatz von Hard- und Software dürfen IKT-Produkte, -Dienste und -Prozesse nur verwendet werden, wenn diese über eine Cybersicherheitszertifizierung nach EU-VO 2019/881 verfügen. Dies kann unter Umständen zu erheblichen Mehraufwänden und -kosten führen. Betreiber kritischer Anlagen sind zudem verpflichtet, Systeme zur Angriffserkennung einzusetzen und Maßnahmen zur Störungsbeseitigung zu ergreifen. Dabei können hier auch aufwändigere Maßnahmen noch verhältnismäßig sein.

Hinsichtlich der Risikomanagementmaßnahmen sind ab Oktober Geschäftsleiter verpflichtet, deren Umsetzung zu überwachen – die Geschäftsleiter bleiben auch verantwortlich, wenn Hilfspersonen hinzugezogen werden. Dies bringt eine enorme Ausweitung der Geschäftsführerhaftung mit sich. Daher ist, um Haftungsansprüche zu vermeiden, das Thema Risikomanagement für Geschäftsführer ganz besonders wichtig. Da im aktuellen Entwurf keine Übergangsfristen zur Umsetzung der Pflichten nach dem BSI-G enthalten sind, sind betroffene Einrichtungen gut beraten sich bereits vor Inkrafttreten im Oktober mit der Umsetzung zu beschäftigen.

Erhebliche Sicherheitsvorfälle müssen dem Bundesamt für Sicherheit in der Informationstechnik innerhalb von 24 Stunden gemeldet werden – hierbei bereits angegeben werden, ob Dritte, insbesondere aus dem Ausland, beteiligt sein könnten. Innerhalb von 72 Stunden muss dann eine zweite detaillierte Meldung, zu dem Schweregrad und den Auswirkungen erfolgen. Spätestens nach einem Monat muss schließlich eine Abschluss- oder Fortschrittsmeldung mit einer ausführlichen Beschreibung des Sicherheitsvorfalls und den Maßnahmen eingereicht werden.

Ein Verstoß gegen die Pflichten kann eine Ordnungswidrigkeit darstellen und erhebliche Geldbußen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes mit sich bringen. Unternehmen sollten daher zeitnah prüfen, ob sie eine besonders wichtige oder wichtige Einrichtung sind und sich auf die anstehenden Pflichten vorbereiten. Für Betreiber betroffener Unternehmen empfiehlt es sich, zu prüfen, ob für die Umsetzung der Maßnahmen Fördermittel des Bundes oder Mittel landesspezifischer Förderprogramme beantragt werden können.

Christine Grau ist Equity Partnerin bei Heuking Kühn Lüer Wojtek und berät  Unternehmen und die öffentliche Hand mit Schwerpunkt TK-, IT- und Cybersicherheitsrecht.