Mehr als 140 Millionen neue Schadprogrammvarianten verzeichnete das Bundesamt für Sicherheit in der Informationstechnik (BSI) im vergangenen Jahr. Angesichts dieser massiven Bedrohung will das BSI dafür sorgen, dass Unternehmen in Deutschland ihre IT ausreichend schützen. Neben der Datenschutz-Grundverordnung und dem neuen Geschäftsgeheimnisgesetz wurden dafür bereits zwei IT-Sicherheitsgesetze (IT-SiG) aufgesetzt, die in das zentrale BSI-Gesetz münden – zuletzt das IT-SiG 2.0 vom Mai 2021.
KRITIS sind definiert
„Kritische Infrastrukturen“ (KRITIS) heißen nach dieser Gesetzgebung Organisationen im Bereich Energie, Wasser, Ernährung, IT und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind; neu hinzugekommen ist der Sektor Siedlungsabfallentsorgung. Durch den Ausfall oder die Beeinträchtigung dieser Organisationen würden erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten. Eine Rechtsverordnung definiert Schwellenwerte, die sich daran anlehnen, ab wann die Versorgung der Bevölkerung gefährdet ist; pauschal sind Unternehmen gemeint, die mehr als 500.000 Menschen versorgen. Wer unter die KRITIS-Verordnung fällt – das sind aktuell knapp 1900 Betriebe –, hat besondere Pflichten im Hinblick auf die Sicherheit seiner IT-Systeme.
UBI samt Zulieferer
Wer nicht darunter fällt, kann dennoch nicht aufatmen. Denn das IT-SiG 2.0 hat eine neue Kategorie eingeführt, die „Unternehmen im besonderen öffentlichen Interesse“, kurz UBI genannt. Laut Gesetz sind das solche, „die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind.“ Doch nicht nur für diese „Wertschöpfungs-UBI“ sind erhöhte Sicherheitsanforderungen definiert, sondern auch für ihre Zulieferer, wenn diese für die UBI „wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind.“
Damit wird der Kreis der Betroffenen unabhängig von der Branche erheblich erweitert. Die Formulierungen sind jedoch so vage, dass sie dringend einer konkretisierenden Rechtsverordnung bedürfen, die allerdings auf sich warten lässt. Dr. Florian Eck, Geschäftsführer des Deutschen Verkehrsforums (DVF), kritisiert dies deutlich: „Hier werden durch die Details der verspäteten Rechtsverordnung auch Kontraktlogistiker, Zulieferer und ergänzende Dienstleister unvorbereitet in die Pflicht genommen – mit viel zu wenig Zeit für die Umsetzung und einem unverhältnismäßigen Sanktionsmaß.“
Rechtsanwalt Julian Monschke, Cybersicherheitsexperte im Frankfurter Büro der Noerr Rechtsanwaltsgesellschaft, sagt: „Ich beobachte in der Praxis teilweise eine hohe Unsicherheit, ob Unternehmen überhaupt unter die Vorgaben des Gesetzes fallen.“ Er merkt an, dass für die Wertschöpfungs-UBI derzeit nur die Top-100-Liste im Hauptgutachten der Monopolkommission einen Anhaltspunkt geben könne. „Die hatte der Gesetzgeber im Kopf, als er die UBI-Kategorie geschaffen hat.“
Licht ins Dunkel versucht Thomas Hemker zu bringen, Director Cyber Defense & Advisory Board der Deutschen Cyber-Sicherheitsorganisation DCSO. „Vereinfacht kann man sagen, dass sich bei KRITIS alles um die Aufrechterhaltung der Versorgungssicherheit dreht. Bei den UBI handelt es sich um Unternehmen, die für den Wirtschaftsstandort im Hinblick auf Technologie, Innovation und Leistungsfähigkeit unverzichtbar sind.“ Aus Cybersicherheitssicht habe man es in den KRITIS-Sektoren eher mit Sabotageangriffen und im Bereich der UBI mehr mit der Gefahr der Spionage zu tun und müsse dementsprechend seine Strategie anpassen.
Warten auf die EU
Bisher warteten alle auf eine konkretisierende UBI-Verordnung als Parallele zur KRITIS-Verordnung. Doch das zuständige Bundesinnenministerium hat jüngst verlautbaren lassen, man wolle zunächst noch eine EU-Richtlinie abwarten, nämlich die novellierte Richtlinie zur Netz- und Informationssicherheit (NIS2-Richtlinie). Wann dieses Regelwerk erscheint, das die Cybersicherheit in der gesamten Europäischen Union im Visier hat, ist ungewiss. Geplant war das 4. Quartal 2022. Nach den bisherigen Entwürfen deutet sich an, dass die rechtlichen Vorgaben, insbesondere Risikomanagementmaßnahmen und Meldepflichten, erheblich anziehen werden und mehr Unternehmen in den Anwendungsbereich fallen. Erfreulich wäre es, wenn die Kriterien dafür dann zumindest einfacher, eindeutiger und EU-weit gleich ausgestaltet wären.
DVF-Geschäftsführer Eck setzt sich für eine ausreichende Vorbereitungszeit ein. „Auf politischer Seite wird einerseits Druck zur Umsetzung aufgebaut, andererseits liegt immer noch keine Evaluierung vor, ob die Maßnahmen des ersten IT-SiG überhaupt wirken, und ebenso lassen die neuen Verordnungen auf sich warten. Da wird leider mit zweierlei Maß gemessen“, bemängelt Eck. Tatsächlich müsste NIS2 erst in nationales Recht umgesetzt werden, wofür die EU eine Frist von 21 Monaten gewähren will. Die UBI-Frage wäre dann noch bis 2024 oder 2025 ungeklärt, die Frage der Zulieferer, die erst anschließend dran wäre, noch länger.
Freiwillige vor
Doch Abwarten ist keine gute Lösung. „Unternehmen, die sich in der Top-100-Liste finden, tun gut daran, sich langsam mit den zu erwartenden Pflichten auseinanderzusetzen“, lautet der Rat von Anwalt Monschke. „Das betrifft etwa Meldepflichten, mögliche Zertifizierungen oder Audits sowie den Entwurf oder die Anpassung von Standardverträgen.“
Angesichts der weltweit erhöhten Bedrohungslage aufgrund des Angriffs auf die Ukraine ruft das BSI nun zur freiwilligen Vorabumsetzung der Pflichten auf. Dr. Florian Eck vom DVF kommentiert dies mit dem Hinweis darauf, dass grundsätzlich jedes Unternehmen gut beraten sei, sich nach aktuellem Stand der Technik abzusichern. „Die vorzeitige Umsetzung des IT-SiG 2.0 aber bedeutet, ein Berichtswesen aufzusetzen und das knappe Fachpersonal mit Bürokratie zu beschäftigen, das an anderer Stelle für Prüfungen und Updates dringend gebraucht wird“, so Eck. „Damit werden Informationen an das BSI geliefert, ohne dass ein erkennbarer Mehrwert zurückfließt.“ Die Branche erwarte eine echte Dienstleistungsorientierung des BSI, verbunden mit solideren Informationen und schnelleren Sicherheitswarnungen an die IT-Verantwortlichen. „Hier ist noch Luft nach oben“, fasst er zusammen.
Keine Entwarnung für KMU
Rechtsanwalt Monschke weist darauf hin, „dass sich für nahezu alle Unternehmen Anforderungen an die IT- und Informationssicherheit aus einer Vielzahl anderer Rechtsquellen, etwa der Datenschutz-Grundverordnung, dem Geschäftsgeheimnisgesetz oder auch vertraglichen Anforderungen ergeben können.“ So seien etwa aufgrund der Einkaufsbedingungen von besonders verhandlungsstarken Unternehmen Lieferanten pauschal dazu verpflichtet, den Stand der Technik für IT-Systeme einzuhalten. „Das ist eine ungeahnt weitreichende Verpflichtung“, betont der IT-Rechtler und relativiert damit die gesetzlich auferlegten Pflichten.
Die Autorin: Anja Falkenstein,
Rechtsanwältin, Karlsruhe
Serie Einkaufsrecht
RA Anja Falkenstein stellt aktuelle und einkaufsrelevante Rechtsthemen vor.
