Mit NIS-2, der „Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ weitet die EU ihre Sicherheitsanforderungen an Unternehmen erneut aus. Sie bleibt damit einer Linie treu, in der auch der EU-Data-Act (Pflicht zur Weitergabe von Daten an Verbraucher und Unternehmen) und die Corporate Sustainability Reporting Directive (Pflicht zu Nachhaltigkeitsberichten) stehen.
NIS-2 wurde in Deutschland bislang nicht umgesetzt, auch nicht der vierte – und als Regierungsentwurf wahrscheinlich letzte – Entwurf vom Juli 2024. Kern ist eine umfassende Ergänzung des BSIG („Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen“).
Anwendungsbereich
Das BSIG unterscheidet zwischen wichtigen und besonders wichtigen Einrichtungen. Letztere sind schärferen Aufsichts- und Durchsetzungsmaßnahmen ausgesetzt. Außerdem drohen ihnen höhere Geldbußen. Die gesetzliche Definition beider Unternehmensformen ist ausgesprochen detailliert und umfangreich. Vorliegend kann sie daher nur in Grundsätzen wieder-gegeben werden.
Als besonders wichtige Einrichtungen definiert das BSIG zunächst Einrichtungen, die über mehr als 250 Mitarbeitende oder über einen Jahresumsatz von mehr als 50 Mio. Euro bei einer Jahresbilanzsumme von mehr als 43 Mio. Euro verfügen und gleichzeitig einer bestimmten Branche angehören. Dazu gehören insbesondere Strom- und Gasversorgung, Luft-, Schienen- und Straßenverkehr, Bankwesen, Wasser sowie digitale Infrastrukturen. Das BSIG sieht noch eine zweite Definition vor: Besonders wichtig sind auch solche Einrichtungen, die kritische Anlagen im Sinne des bereits verabschiedeten, aber noch nicht verkündeten KRITIS-Dachgesetzes (soll die Resilienz und physische Sicherheit Kritischer Infrastrukturen regulieren) betreiben. Dies sind Betriebsstätten u. a. in den Sektoren Gesundheitswesen, Finanzwesen, Energie, Verkehr, IT und Telekommunikation. Zwischen beiden Definitionen des BSIG gibt es also zahlreiche Überschneidungen.
Als wichtige Einrichtungen gelten zum einen diejenigen Branchen, die in der ersten Definition der besonders wichtigen Einrichtungen genannt sind. Zum anderen erfasst der Begriff der wichtigen Einrichtung namentlich die Geschäftsbereiche Lebensmittel, Medizin- und Chemieproduktion, Abfall, Elektronik, Kfz (-teile) und Maschinenbau.
Pflichten der Einrichtungen
Zunächst müssen sich (besonders) wichtige Einrichtungen beim Bundesamt für Sicherheit in der Informationstechnik registrieren lassen.
Hauptpflicht sind Risikomanagementmaßnahmen. Dies meint wirksame Maßnahmen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der IT zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Konkret gemeint sind hiermit vor allem Konzepte in Bezug auf die IT-Sicherheit, zur Bewältigung von Sicherheitsvorfällen sowie zur Aufrechterhaltung des Betriebs, beispielsweise durch Backup- und Krisenmanagement. Hinzu kommen u. a. Maßnahmen zur Sicherheit der Lieferkette, Cyberhygiene insbesondere durch Sicherheitsschulungen und Multi-Faktor-Authentifizierungen sowie eine gesicherte Sprach-, Video- und Textkommunikation.
Nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls müssen die Einrichtungen spätestens innerhalb von 24 Stunden eine Frühwarnung bei einer Meldestelle abgeben. Ein Sicherheitsvorfall ist erheblich, wenn er schwerwiegende Betriebsstörungen verursachen oder wenn er Personen/Unternehmen durch erhebliche Schäden beeinträchtigen kann. Innerhalb von 72 Stunden muss die Einrichtung die Meldung insbesondere mit einer ersten Bewertung zum Schweregrad ergänzen. Folgen müssen ggf. Zwischenmeldungen, jedenfalls aber spätestens einen Monat nach Meldung eine Abschlussmeldung. Wichtig in diesem Zusammenhang: Die korrekte Meldung fällt umso leichter, je schneller und detaillierter der Sicherheitsvorfall ermittelt wurde.
Bei einem erheblichen Sicherheitsvorfall kann das Bundesamt anordnen, Kunden oder Lieferanten hierüber zu unterrichten.
Cyber- und D&O-Versicherungen schaffen Abhilfe
Insbesondere mit ihrer sofortigen Hilfe zur Abwehr bei Angriffen federt eine Cyberversicherung Sicherheitsvorfälle umfassend ab. Gleiches gilt für die im Anschluss gewährten Leistungen für Forensik. Die Cyberversicherung hilft damit u. a. bei der Klärung der Frage, ob bzw. welcher Sicherheitsvorfall vorliegt, welchen Umfang er hat, wodurch er verursacht wurde, wie auf ihn reagiert werden kann (Stichwort: Krisenmanagement) und wer von ihm betroffen ist. Versichert ist zudem die Wiederherstellung der IT, insbesondere die Beseitigung von Schadsoftware, Softwarelizenzen und -installation sowie Dateneingaben. Sofern die Cyberversicherung auch Sicherheitsverbesserungen umfasst, können Sicherheitsvorfälle von vorn-herein verhindert werden.
Pflichten der Geschäftsführung
Geschäftsführer und Vorstände sind verpflichtet, die von NIS-2 geforderten Risikomanagementmaßnahmen umzusetzen, ihre Umsetzung zu überwachen und an Schulungen teilzunehmen. Die Verletzung dieser Pflichten führt zur klassischen Organhaftung nach dem GmbH- bzw. Aktiengesetz.
Eine solche Haftung kann aber auch dadurch entstehen, dass die Geschäftsleitung z. B. nicht für die Meldung erheblicher Sicherheitsvorfälle oder die Unterrichtung von Vertragspartnern Sorge trägt.
In all diesen Fällen bietet die D&O-Versicherung Schutz: Sie wehrt unberechtigte Schadensersatzansprüche ab und gleicht berechtigte aus. Dabei spielt es keine Rolle, ob die Schadensersatzansprüche von der eigenen Einrichtung oder von Dritten geltend gemacht werden. Darüber hinaus können sich mit Hilfe einer D&O-Versicherung die Organmitglieder bereits bei Androhungen mit anwaltlichem Rat auf Schadensersatzansprüche vorbereiten.
Geldbußen
Bei Verstößen gegen die durch NIS-2 gesetzten Pflichten müssen die Einrichtungen mit erheblichen Geldbußen rechnen. Letztere können sich im Hinblick auf die Risikomanagementmaßnahmen oder die Meldepflichten bei besonders wichtigen Einrichtungen auf bis zu 10 Mio. Euro oder – bei einem Jahresumsatz von mehr als 500.000 Euro – auf bis zu 2 Prozent des Umsatzes des Konzerns belaufen, dem die Einrichtung angehört. Wichtige Einrichtungen müssen in den genannten Fällen mit Geldbußen bis zu 7 Mio. Euro bzw. 1,4 Prozent des Konzernumsatzes rechnen.
Diese Geldbußen drohen auch Geschäftsführern bzw. Vorständen, wenn sie Aufsichtsmaß-nahmen unterlassen und es dadurch zu den genannten Pflichtverstößen kommt. Solche Aufsichtsmaßnahmen sind insbesondere die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen.
Exkurs: Versicherbarkeit der Geldbußen?
Es liegt auf der Hand, dass die betroffenen Einrichtungen den Schaden versichern wollen, der ihnen durch die Bußgeldzahlung entstanden ist. Die direkte Versicherung der Geldbuße ist zwar nicht möglich, da dies den Sanktionszweck einer Geldbuße unterliefe. Anders sieht es aber aus, wenn die zur Bußgeldzahlung verpflichtete Einrichtung (oder das zur Bußgeldzahlung verpflichtete Organmitglied) die Geldbuße bereits bezahlt hat, diesen Geldbetrag jedoch als Schadensersatz bei einem (anderen) verantwortlichen Organmitglied regressiert. Dass dieser Regress ein Risiko birgt, für das eine D&O-Versicherung Schutz bietet, war bereits Thema des Beitrags Aktuelles zur Managerhaftung und zur Versicherbarkeit von Geldbußen. Zwischenzeitlich hat der BGH diese Frage dem EuGH zur Entscheidung vorgelegt.
Fazit
Die Anforderungen, die NIS-2 an Unternehmen stellt, sind erheblich und durchaus mit denen der DSGVO vergleichbar. Allerdings lassen sich die hierdurch entstehenden Risiken in nicht unerheblichen Teilen durch Cyber- und D&O-Policen versichern.