„Jetzt sind es nicht mehr nur Datenschutz-, sondern auch Cybersicherheitsanforderungen, denen man kaum noch nachkommen kann“ – so oder so ähnlich dürften es die Unternehmen zu Recht sehen, die die Folgen der neuen Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS 2) zu spüren bekommen. NIS 2 umfasst 70 Seiten und verweist auf mehrere, z.T. ebenso umfangreiche Rechtsakte der EU.
Hintergrund
Die EU bezweckt mit NIS 2, dass Cybervorfälle so wenig wie möglich die Ausübung wirtschaftlicher Tätigkeiten im Binnenmarkt beeinträchtigen, finanziellen Verlust verursachen, das Vertrauen der Nutzer untergraben oder der Wirtschaft und Gesellschaft der Union großen Schaden zufügen können. Hierfür ist NIS 2 am 28.12.2022 in Kraft getreten und damit ggf. bereits vor Umsetzung in nationales Recht bei der Auslegung dortiger Cybersicherheitsbestimmungen zu berücksichtigen. Die eigentliche Umsetzungsfrist für die Mitgliedstaaten endet am 17.10.2024. Sollten ein Staat bis dahin NIS 2 nicht in nationales Recht übertragen haben, droht ihre ausnahmslose, unmittelbare Geltung.
Betroffene Unternehmen
Zwar sind die Folgen von NIS 2 immens (dazu sogleich). Betroffen allerdings sind immerhin nicht alle Unternehmen. Stattdessen richtet sich NIS 2 nur an „wesentliche“ und „wichtige“ Einrichtungen. Leider sind die Definitionen zahlreich und unübersichtlich gefasst. Sie können daher vorliegend nur in Grundsätzen wiedergegeben werden.
Zu den „wesentlichen“ Einrichtungen zählen Unternehmen u.a. aus den Branchen Energie, Verkehr, Bankwesen, Gesundheit und digitale Infrastruktur (jeweils mit mehr als 250 Mitarbeitern oder einem Jahresumsatz von mehr als 50 Mio. Euro oder einer Jahresbilanzsumme von mehr als 43 Mio. Euro). Außerdem sind Unternehmen bestimmter Branchen – und hier ist der Kreis noch etwas weiter (zusätzlich u.a. Chemie, Lebensmittel, digitale Dienste) – betroffen, die ein Mitgliedstaat als wesentliche Einrichtungen einstuft. Auch die durch eine andere Richtlinie geregelten „kritischen Einrichtungen / Infrastrukturen“ gelten als wesentliche Einrichtungen; dadurch sind neben den eingangs genannten Branchen ebenfalls weitere (öffentlicher Verkehr, Großhändler im Bereich Gesundheitswesen) zu berücksichtigen. Ergänzt wird die Aufzählung der wesentlichen Einrichtungen etwa durch bestimmte qualifizierte Vertrauensdiensteanbieter und Domänennamenregister sowie durch Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste (jeweils mit einer Mitarbeiteranzahl von 50 bis 250 Personen und einem Jahresumsatz / einer Jahresbilanzsumme von jeweils 10 Mio. Euro bis 50 / 43 Mio. Euro).
Als „wichtige“ Einrichtungen gelten Unternehmen u.a. aus den Branchen Energie, Verkehr, Bankwesen, Gesundheit, digitale Infrastruktur, Chemie, Lebensmittel und digitale Dienste, die nicht unter die wesentlichen Einrichtungen fallen oder die ein Mitgliedstaat als wichtige Einrichtungen einstuft.
Pflichten der betroffenen Unternehmen
Ausgesprochen umfangreich und teilweise schwer zu greifen sind die Pflichten, die den wesentlichen und wichtigen Einrichtungen auferlegt werden. NIS 2 zieht damit einen erheblichen bürokratischen Aufwand nach sich.
Kernpflicht ist diejenige zur Durchführung von Risikomanagementmaßnahmen im Bereich der Cybersicherheit. Hier gibt es eine explizite Aufzählung, nach der verschiedene technische, operative und organisatorische Maßnahmen vorzunehmen sind, um die Sicherheitsrisiken zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf Dritte zu verhindern oder gering zu halten. Gemeint sind hiermit vor allem Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme, zur Bewältigung von Sicherheitsvorfällen sowie zur Aufrechterhaltung des Betriebs (z.B. durch Backup-Management, Wiederherstellung nach einem Notfall, Krisenmanagement). Hinzu kommen Maßnahmen zur Sicherheit der Lieferkette und zur Wartung von Informationssystemen. NIS 2 fordert zudem Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen, zur „Cyberhygiene“ (insbesondere Sicherheitsschulungen) sowie für den Einsatz von Kryptografie und ggf. Verschlüsselung. Weitere Erfordernisse sind die Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen, die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung bzw. kontinuierlichen Authentifizierung, eine gesicherte Sprach-, Video- und Textkommunikation sowie ggf. gesicherte interne Notfallkommunikationssysteme.
Nach Kenntnisnahme des Sicherheitsvorfalls müssen die betroffenen Unternehmen spätestens innerhalb von 24 Stunden eine Frühwarnung und innerhalb von 72 Stunden eine Meldung über den Sicherheitsvorfall u.a. mit erster Bewertung (inkl. Schweregrads und Auswirkungen) sowie einer Aktualisierung der in der Frühwarnung genannten Informationen an die zuständige Behörde vornehmen. Folgen müssen Zwischenberichte über relevante Statusaktualisierungen und spätestens einen Monat nach Meldung ein Abschlussbericht. Wichtig in diesem Zusammenhang: Die korrekte Meldung fällt umso leichter, je schneller und detaillierter der Sicherheitsvorfall ermittelt wurde. Daher haben Unternehmen, die über eine Cyberversicherung verfügen, einen klaren Vorteil. Denn eine solche Police umfasst u.a. Kosten für die forensische Untersuchung eines Sicherheitsvorfalls.
Bei den Pflichten der betroffenen Unternehmen ist schließlich zu beachten, dass jeder Mitgliedstaat für sich bestimmen kann, inwieweit sie spezielle Informations- und Kommunikationstechnologien verwenden müssen. In Teilen drohen also sogar noch schärfere Vorgaben als die in NIS 2 enthaltenen.
Noch einmal zur Cyberversicherung: Insbesondere mit ihren Leistungen für Forensik und ggf. Sicherheitsverbesserungen federt sie Sicherheitsvorfälle umfassend ab oder verhindert sie sogar. Nicht nur im Hinblick auf die oben genannten Meldepflichten hat das betroffene Unternehmen also mit einer Cyberversicherung deutlich bessere Karten, wenn es darum geht, gegenüber der Behörde die Erfüllung der Pflichten aus NIS zu belegen.
Geldbußen gegen betroffene Unternehmen
Bei Verstößen gegen die Pflichten zu den genannten Risikomanagementmaßnahmen sowie gegen die Meldungspflichten droht wesentlichen Einrichtungen eine Geldbuße bis zu 10 Mio. Euro oder 2 Prozent des Umsatzes des Konzerns, dem die Einrichtung angehört. Gegen wichtige Einrichtungen kann die nationale Behörde eine Geldbuße bis zu 7 Mio. Euro oder 1,4 Prozent des Konzernumsatzes verhängen. Je nach Mitgliedstaat können die Geldbußen auch höher ausfallen.
Risiken für Organmitglieder
Dass ein Unternehmen sämtlichen Pflichten aus NIS 2 nachkommt, liegt im Verantwortungsbereich seiner Organmitglieder. Spiegelbildlich entstehen durch NIS 2 schlichtweg mehr Pflichten für Organmitglieder, was wiederum das Risiko für Fehler und damit für Schadensersatzansprüche des Unternehmens erhöht.
Gefährlich ist auch, dass bei der gebotenen, transparenten Umsetzung der Pflichten letztere leichter ersichtlich und damit das Unternehmen Schadensersatzansprüche effektiver durchsetzen kann.
Zahlt das betroffene Unternehmen eine wegen Verstoßes gegen NIS 2 verhängte Geldbuße, besteht die Möglichkeit, dass es das verantwortliche Organmitglied in Regress nimmt. Für den Schutz dieses Organmitglieds ist dann entscheidend, ob eine D&O-Versicherung existiert, die Pflichtverletzungen im Zusammenhang mit Geldbußen versichert.
Pflichten der Mitgliedstaaten
Die Mitgliedstaaten müssen eine nationale Cybersicherheitsstrategie vorhalten, die u.a. die erforderlichen Ressourcen sowie Maßnahmen für ein hohes Sicherheitsniveaus beinhaltet. Es sind drei Behörden einzurichten und zwar zur Überwachung der Pflichten aus NIS 2, zur grenzüberschreitenden Zusammenarbeit sowie zur Begleitung von Sicherheitsvorfällen großen Ausmaßes. In diesen Behörden muss es Computer-Notfallteams (CSIRTs) geben u.a. zur Überwachung von Cyberbedrohungen, zur Bekanntmachung von Informationen über sie und zur Reaktion auf Sicherheitsvorfälle einschließlich einer Unterstützung der betroffenen Unternehmen. Mitzuwirken haben die Mitgliedstaaten an einer „Kooperationsgruppe“ (zur Erleichterung u.a. des Informationsaustauschs), an einem „Netzwerk nationaler CSIRTs“ (zur operativen Zusammenarbeit) sowie an einem „Europäischem Netzwerk der Verbindungsorganisationen für Cyberkrisen / EU-CyCLONe“ (zum Management von großen Sicherheitsvorfällen und für einen regelmäßigen Informationsaustausch).
Fazit
Zwar ist der Kreis der betroffenen Unternehmen bei NIS 2 enger als in der Datenschutzgrundverordnung. Die Anforderungen an sie sind aber um einiges höher, nicht zuletzt aufgrund der geforderten technischen Sicherheitsmaßnahmen. Cyber- sowie D&O-Versicherungsschutz sind infolgedessen unerlässlich und zwar mit optimalen Deckungskonzepten.