Am 16. Januar 2023 ist die „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ (Network and Information Security Directive - „NIS-2“) in Kraft getreten. Die Richtlinie verpflichtet eine Vielzahl von Unternehmen zur planvollen Umsetzung von Cybersicherheitsmaßnahmen. Die Richtline erweitert den Kreis der betroffenen Unternehmen im Vergleich zur bisher geltenden NIS-1-Richtline erheblich und verschärft die Anforderungen an die Cybersicherheit deutlich. NIS-2 erfasst viele in der EU tätige Industrie- und Produktionsunternehmen (insbesondere aus den Bereichen Lebensmittel, Chemie, Gesundheit etc.), die mindestens 50 Mitarbeitende beschäftigen und deren Jahresumsatz 10 Mio. EUR übersteigt.
Die Mitgliedsstaaten müssen die NIS-2-Richtline bis zum 17. Oktober 2024 in nationales Recht umsetzen. Die Umsetzung in Deutschland erfolgt durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (#NIS2UmsuCG). Zuständig ist das Bundesministerium des Innern (BMI). Nachdem das BMI zunächst keinen übertriebenen Eifer hinsichtlich der Bemühungen für die Umsetzung der NIS-2-Richtline an den Tag gelegt hatte, geht es nun Schlag auf Schlag. Am 3. Juni 2024 hörte es die Fachkreise und Verbände zum Referentenentwurf vom 7. Mai 2024 an und legte am 26. Juni 2024 einen überarbeiteten Referentenentwurf vor. Die Fachkreise und Verbände haben nun Gelegenheit zur erneuten Stellungnahme bis zum 3. Juli 2024. Noch im Sommer soll der Kabinettsentwurf vorliegen.
Alles neu macht der ….. Juni?
Im Vergleich zur Fassung des NIS2UmsuCG vom 7. Mai 2024 bringt der aktuelle Entwurf wenig Neues. Anders als andere EU-Mitgliedsstaaten hat sich das BMI für eine 1:1-Umsetzung der NIS-2-Richtlinie entschlossen. Die von den Verbänden geforderten Klarstellungen hat das BMI nur teilweise umgesetzt und mit den geplanten Änderungen teilweise neue Fragen aufgeworfen.
Überarbeitung von § 38 Abs. 1 BSIG-E – Verpflichtung zur Umsetzung von Risikomanagementmaßnahmen.
Nach der bisherigen Fassung des § 38 Abs. 1 BSIG-E waren Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.
Mit dieser Formulierung lehnte sich der Referentenentwurf eng an den Wortlaut von Art. 20 Abs. 1 NIS-2 an. Die Richtlinie zielt darauf ab, ein hohes Maß an Verantwortung für die Risikomanagementmaßnahmen im Bereich der Cybersicherheit sicherzustellen und verpflichtet die Geschäftsleitung der wesentlichen und wichtigen Einrichtungen die Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu genehmigen und deren Umsetzung zu überwachen (vgl. ErwG. 137).
Nach dem Wortlaut des jetzt vorgelegten Entwurfs aus dem Juni 2024 ist die Geschäftsleitung verpflichtet, die erforderlichen Risikomanagementmaßnahmen umzusetzen – statt sie, wie in der NIS-2-Richtlinie und dem Entwurf aus dem Mai 2024 vorgesehen, zu billigen – und ihre Umsetzung zu überwachen.
Die Neufassung des Wortlauts wirft mehr Fragen auf, als die beantwortet. Bereits sprachlich ist die Verbindung von Umsetzung und Überwachung der Umsetzung missglückt, da sie eine “Selbstüberwachung” der Leitungsorgane konstituiert. Daneben legt der Wortlaut die Schlussfolgerung nahe, dass Leitungsorgane verpflichtet sind, die Risikomanagementmaßnahmen in Person umzusetzen. Dies wäre eine klar überschießende nationale Umsetzung, da die NIS-2-Richtlinie eine solche Verpflichtung gerade nicht verlangt. Zwar ist eine überschießende Umsetzung möglich. Sie scheint vom deutschen Gesetzgeber aber gerade nicht intendiert, weil er in der Gesetzesbegründung hinsichtlich des Begriffs der Umsetzung doch wieder auf die Billigung verweist. Im Kern dürfte es dem Gesetzgeber darum gehen, dass das Billigen nicht lediglich im Sinne der deutschen Strafrechtstradition als “billigen im Rechtssinne” verstanden wird. Hierzu wäre es jedoch ausreichend und auch zweckmäßig, wenn es der Gesetzgeber beim Wortlaut der NIS-2-Richtlinie belässt und die Überlegungen zur Auslegungen in der Gesetzesbegründung vermerkt.
Überarbeitung von § 38 Abs. 2 BSIG-E – Haftungsregime.
Das BMI hat in der aktuellen Fassung des Entwurfs die Regelung in § 38 Abs. 2 BSIG-E ersatzlos gestrichen. Diese verbat einen präventiven Verzicht auf Schadensersatzansprüche im Innenverhältnis der Gesellschaft gegen das Leitungsorgan bei Verletzung der Governance-Pflichten nach § 38 Abs. 1 BSIG-E. An deren Stelle tritt eine neue Haftungsregelung: Die Leitungsorgane haften nun gemäß den gesellschaftsrechtlichen Regeln der jeweiligen Unternehmensform. Eine Haftung nach dem BSIG greift nur, wenn keine einschlägigen gesellschaftsrechtlichen Haftungsregeln vorhanden sind.
Nach der Gesetzesbegründung soll die Haftung nach dem BSIG als Auffangtatbestand dienen, wenn die Rechtsform der Gesellschaft keine Bestimmungen zur Binnenhaftung vorsieht. Nach welchen Regeln des BSIG in diesen Fällen gehaftet wird, bleibt unklar.
§ 38 Abs. 3 BSIG-E – Pflicht zur Aufschlauung.
Die in § 38 Abs. 3 BSIG-E geregelte Pflicht der Geschäftsleitung zur regelmäßigen Teilnahme an Schulungen zum Erwerb ausreichender Kenntnisse und Fähigkeiten im Bereich des Risikomanagements und der Cyber- und Informationssicherheit wurde unverändert übernommen und bildet nach wie vor ein Kernelement der Governance-Pflichten der Leitungsorgane.
Weitere Klarstellungen zum Anwendungsbereich und den Begrifflichkeiten.
Mit der Neufassung des § 28 BSIG-E hat das BMI klargestellt, dass Einrichtungen, die bereits durch das Telekommunikationsgesetzes (TKG) oder das Energiewirtschaftsgesetz (EnWG) reguliert sind, nicht zusätzlich durch das BSIG reguliert werden, es sei denn die Einrichtung ist in mehreren Sektoren tätig. Diese Ausnahme dürfte vor allem die lokalen Stadtwerke betreffen, die neben dem klassischen Aufgabenbereich der Wasserversorgung und Abwasserentsorgung auch in den Bereichen Energieversorgung und Telekommunikation tätig sind.
Eine weitere Klarstellung hat der Begriff des „Rechenzentrumsdienstes“ erfahren. Um eine klare Abgrenzung zu Cloud-Computing-Diensten zu ermöglichen, hat man den Wortlaut der Definition des Rechenzentrumsdienstes in § 2 Nr. 35 BSIG-E angepasst. Erfasst werden jetzt ausdrücklich nur „Datenverarbeitungsdienste“ und nicht – wie in der Fassung aus dem Mai – auch „Datenspeicherungsdienste“.
Und sonst? Klarheit oder offene Baustellungen?
Trotz der Bemühungen des BMI sind einige von den Verbänden geforderte Klarstellungen nicht umgesetzt. Die geforderte Eingrenzung des Begriffs „Managed Service Provider“ und des Anwendungsbereichs für den Energiesektor ist ebenso erfolgt, wie die Klarstellung im Bereich der Konzernstrukturen. Gerade im Konzernumfeld bestehen damit nach wie vor einige Rechtsunsicherheiten.
Fahrplan des BMI.
Das BMI will den Kabinettsentwurf noch im Sommer 2024 vorlegen und das parlamentarische Verfahren einleiten. Eine Umsetzung bis zum Oktober 2024 ist damit unwahrscheinlich. Realistisch ist das Inkrafttreten im Frühjahr 2025.
Konsequenzen für betroffene Unternehmen.
Weitere Übergangsfristen sieht der Gesetzesentwurf nicht vor, die NIS-2-Pflichten gelten also mit Verkündung des NIS2UmsuCG im Bundesgesetzblatt. Für Unternehmen, die dem Anwendungsbereich des Gesetzes unterfallen, bleibt wenig Zeit für die Umsetzung.
„Time flies“ – und bevor man es sich versieht, klopft das Frühjahr 2025 an die Tür.
Die erforderlichen Maßnahmen und Prozesse sind nicht von heute auf morgen identifiziert, und schon gar nicht umgesetzt. Betroffene Unternehmen sind gut beraten, sich zeitnah mit der Umsetzung der Vorgaben der NIS-2 Richtline zu befassen.
Weitere Informationen:
Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union
Richtlinie - 2022/2555 - EN - EUR-Lex (europa.eu)
Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, Bearbeitungsstand 07.05.2024
Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, Bearbeitungsstand 24.06.2024
Vergleichsfassung Bearbeitungsstand 07.05.2024 zu 24.06.2024
Thorsten Walter berät nationale und internationale Unternehmen umfassend im Bereich des individuellen und kollektiven Arbeitsrechts, des Datenschutzrechts und angrenzender Rechtsgebiete.