Und bist du nicht willig, so brauch ich Gewalt – diese Zeile aus Goethes Erlkönig könnte die Motivation des EU-Gesetzgebers widerspiegeln, der jetzt per Gesetz deutlich mehr Unternehmen als zuvor zu einer besseren IT-Sicherheit „verdonnern“ will. Jeder Unternehmer weiß, dass es aktuell keine größere Bedrohung für die globale Wirtschaft gibt, und trotzdem sind die Maßnahmen zum Schutz vor Cyberangriffen nicht ausreichend, zumindest nicht in der Fläche.
Die europäische Richtlinie für Netz- und Informationssicherheit, kurz NIS-2, nimmt nun einen erheblich größeren Adressatenkreis als der Vorgänger NIS-1 in die Pflicht: rund 30.000 Unternehmen zusätzlich werden wohl ab Oktober unter das deutsche Umsetzungsgesetz fallen – und zwar ohne Übergangsfrist.
Großunternehmen und Konzerne haben sich inzwischen gut aufgestellt, ebenso diejenigen, die bereits als KRITIS-Betreiber klassifiziert sind. Doch im Mittelstand gibt es noch viele Sicherheitslücken, über die sich der Gesetzgeber Sorgen macht – insbesondere bei Unternehmen, die für die Versorgung der Allgemeinheit von Bedeutung sind. „Es ist ein Irrglaube, dass mittelständische Unternehmen nicht auf der Zielscheibe der Cyberangreifer sind“, sagt Maurice Teltscher, Geschäftsführer der Inventry GmbH, einem auf Cybersecurity spezialisierten IT-Dienstleister aus Griesheim bei Darmstadt. „Gerade kleinere Unternehmen haben Sicherheitslücken, die in Masse nach dem Gießkannenprinzip von Angreifern genutzt werden.“
Zielgruppe schwer zu bestimmen
Bild: LiiDU
Wer von NIS-2 betroffen ist, entscheidet sich nach der Zugehörigkeit zu bestimmten Sektoren und anhand von Schwellenwerten bei Unternehmensgröße und Umsatz. Anders als bei NIS-1, wo es nur eine Anlage I mit KRITIS-Betreibern gab, gibt es bei NIS-2 nun zusätzlich eine Anlage II. Diese listet Sektoren wie Entsorgung, Chemie, Lebensmittel, Transport und verarbeitendes Gewerbe auf und spezifiziert dann weiter. In diesen Sektoren sind alle „wichtigen Einrichtungen“ betroffen, das sind Unternehmen ab 50 Beschäftigten oder ab 10 Millionen Euro Jahresumsatz.
Für den Sektor Transport und Verkehr werden zum Beispiel ausdrücklich Post- und Kurierdienste genannt. „Komplex und nicht einfach zu ermitteln“, sagt eine Unternehmenssprecherin vom Logistikanbieter Trans-o-flex aus Weinheim über die Schwierigkeit, die eigene Betroffenheit zu bestimmen. Rechtsanwältin Sabine Sobola aus Regensburg weiß Rat: Wer bei der Einordnung seines Unternehmens eine erste Orientierung sucht, kann das auf verschiedenen Webseiten tun, die ‚NIS-2-Checker‘ eingebunden haben, etwa die Websites
Die Geschäftsführerin der LiiDU GmbH, einem Beratungsunternehmen für die Schnittstelle Recht/Datenschutz/IT-Sicherheit (der Firmenname steht für „Licht im Dunkeln“), ermutigt: „In wenigen Minuten kann man sich nach der Beantwortung einiger Fragen zumindest einen Fingerzeig abholen, ob man von NIS-2 betroffen ist oder eher nicht.“
Mittelbare Betroffenheit
Doch wer sich nach dem Check nicht direkt in den Listen der neuen Verordnung wiederfindet, kann immer noch mittelbar betroffen sein. Denn Auftraggeber, etwa Verlader, müssen im Zuge ihrer gesetzlich vorgeschriebenen Sicherheitsmaßnahmen jetzt auf ihre gesamte Supply-Chain achten. „Gerade auf die einzelnen Bestandteile der Lieferkette haben es Angreifer abgesehen, denn so können sie namhafte Unternehmen indirekt angreifen und deren hohe Schutzmauern umgehen“, warnt IT-Sicherheitsexperte Teltscher.
Damit sind nun beispielsweise auch Lieferanten und Logistikdienstleister im Fokus. Wer etwa als Online-Händler einen Fulfillment-Dienstleister mit der gesamten B2C-Abwicklung beauftragt, muss sich bewusst sein, dass dieser aufgrund seines reichen Schatzes an Endkundendaten ein attraktives Ziel für Cyberattacken darstellt, mit denen auch der Händler selbst unter Druck gesetzt und erpresst werden kann.
Maßnahmen und Pflichten
Bild: Inventry
Ähnlich wie 2018 mit der Datenschutz-Grundverordnung (DS-GVO) will die Europäische Union mit NIS-2 flächendeckend ein einheitlich hohes Schutzniveau in allen Mitgliedstaaten etablieren, nur eben diesmal bei der Cybersicherheit.
Die Unternehmen im Fokus von NIS-2 haben deshalb ein IT-Risikomanagement nach der Drei-Stufen-Methode „Risiko ermitteln – Gegenmaßnahmen treffen – Wirksamkeit prüfen“ einzurichten und zu überwachen. Sie müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren lassen. Regelmäßige Audits sowie Schulungen sind nachzuweisen und die Kunden über einen Vorfall zu informieren. Eine Zertifizierung nach ISO 27001 ist von Vorteil und dürfte den größten Teil von NIS-2 abdecken, vielleicht sogar alles.
Den Kontrollbehörden stehen künftig erweiterte Befugnisse zu, um die Maßnahmen zu kontrollieren, etwa ausgeweitete Datenzugriffe, Vor-Ort-Kontrollen, Sicherheitsscans der Systeme und einiges mehr.
Der Fall der Fälle
Tritt tatsächlich der Fall der Fälle ein und es liegt ein „erheblicher Sicherheitsvorfall“ vor, gilt es unbedingt, innerhalb von 24 Stunden eine erste Meldung an das BSI abzusetzen. Hier ist eine einfache Frühwarnung ausreichend. Innerhalb von 72 Stunden muss dann eine zweite Meldung erfolgen, die eine Bewertung des Vorfalls, den Schweregrad und die Auswirkungen enthält. Innerhalb eines Monats schließlich ist ein Abschlussbericht vorzulegen.
„Die engen Meldepflichten von 24 Stunden nach einem Vorfall halte ich für schwer umsetzbar“, sagt Juristin Sobola. „Ob und wie eine Meldung an das BSI abgesetzt werden muss, kann nur ein IT-Sicherheitsexperte bewerten, von denen es im Moment viel zu wenige gibt, erst recht im Bereitschaftsdienst.“
Sanktionen und Haftung
Bei einem Verstoß gegen die Meldepflicht oder sonstige NIS-2-Pflichten wird es happig. Auch hier kommt ein neues Sanktionensystem nach dem Vorbild der DS-GVO zum Einsatz, das aufhorchen lässt. Der Bußgeldrahmen sieht 100.000 bis 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes vor. Beim Transportspezialisten Trans-o-flex stößt das auf Kritik: „Man kann sich fragen, ob die betroffenen Unternehmen durch Cyberangriffe und ihre oft enormen Schäden nicht schon genug gestraft sind“, gibt die Unternehmenssprecherin zu bedenken.
Angesichts der Höhe dieser Bußgelder riskiert ein Geschäftsführer eines Mittelständlers bei Pflichtverstößen die Handlungsunfähigkeit des Unternehmens bis hin zur Insolvenz. Und gerät womöglich selbst in die persönliche Haftung. „Falls er seine Pflichten verletzt, ist der Geschäftsführer gegenüber der Gesellschaft zum Ersatz des daraus entstehenden Schadens verpflichtet“, erläutert Anwältin Sobola die geplante Rechtslage. Diese Haftungsverschärfung ist beachtlich, denn ein Verzicht des Unternehmens auf Geltendmachung der Ersatzansprüche ist gesetzlich ausdrücklich ausgeschlossen. Ob eine D&O-Versicherung für einen solchen Fall eine Deckung vorsieht, ist fraglich. „Damit rückt die Pflicht zur IT-Sicherheit bei den Compliance-Maßnahmen der Unternehmen in der Prioritätenliste ganz weit nach oben“, erwartet Sobola.
Vielleicht führen diese drakonischen Sanktionen tatsächlich dazu, dass das Thema IT-Sicherheit in allen Köpfen ankommt. Und zwar, bevor – wie im Erlkönig – der schlimmstmögliche Fall eintritt.
Die Autorin: Anja Falkenstein,
Rechtsanwältin, Karlsruhe
Recht im Einkauf
Die Serie „Rechtsprechung für die Beschaffung“ behandelt juristische Probleme rund um den Einkauf. Sie schafft ein Verständnis für den aktuellen Stand der Rechtsprechung, ersetzt aber nicht die anwaltliche Beratung im Einzelfall.
