EU-weite Stärkung der Cybersicherheit: Neue Pflichten für betroffene Unternehmen

Die Gefahren im Bereich Cyberkriminalität steigen seit Jahren. Die Risiken reichen von Datendiebstahl und Spionage über IT-Ausfälle bis hin zu Produktionsstopps. Deshalb kommen die Gesetzgebungsverfahren zur Erhöhung des Sicherheitsstandards im Bereich der Informationstechnik nicht überraschend.

Mit der neuen NIS-2-Richtlinie wird sich der Adressatenkreis besonderer Cybersicherheitsvorschriften deutlich vergrößern. Einen Überblick über die anstehenden Änderungen sowie IT- und arbeitsrechtliche Auswirkungen geben Dr. Hanna Schmidt und Annabelle Marceau.

1. Entwicklung der Gesetzgebung im Bereich IT-Sicherheit und aktuelle Gesetzeslage

Mit dem IT-Sicherheitsgesetz 1.0 wurden 2015 erstmals Betreiber kritischer Infrastruktur, insbesondere im Bereich der Strom- und Wasserversorgung sowie Finanzen und Ernährung, Adressaten besonderer Regelungen im Bereich der Cybersicherheit. Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) verpflichtet sie seitdem u.a. dazu, Vorkehrungen zur Vermeidung von Störfällen nach dem Stand der Technik zu treffen. Sollte es zu einem erheblichen Sicherheitsvorfall kommen, muss dieser dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.

Ähnliche Regelungen gibt es seit 2017 mit dem Gesetz zur Umsetzung der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie). Die NIS-Richtlinie zielt auf einen EU-weit einheitlichen Rechtsrahmen für den Aufbau nationaler Kapazitäten für die Cybersicherheit ab. Durch das deutsche Umsetzungsgesetz haben sich die Regelungen für die kritische Infrastruktur erweitert und es wurden Vorschriften für Anbieter digitaler Dienste eingeführt.

Seit 2021 treffen zudem sogenannte Unternehmen im besonderen öffentlichen Interesse besondere Pflichten zur Cybersicherheit auf Grundlage des „Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0)“. Hiernach müssen betroffene Unternehmen alle zwei Jahre eine Selbsterklärung über Zertifizierungen, Sicherheitsaudits und Schutzmaßnahmen abgeben. Auch sie müssen im Falle einer Störung diese den zuständigen Behörden melden.

2. Neue NIS-2-Richtlinie

Mit einer weiteren Richtlinie erweitert sich nun der Adressatenkreis besonderer Cybersicherheitsvorschriften deutlich (Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (sog. NIS-2-Richtlinie)). Erfasst werden u. a. Unternehmen im Bereich Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Digitale Infrastruktur und Informations- und Kommunikations-Servicemanagement. Neben den wesentlichen Einrichtungen werden als wichtige Einrichtungen u. a. explizit genannt: Post- und Kurierdienste, Abfallbewirtschaftung, Chemie (Herstellung und Handel), Lebensmittel (Produktion, Verarbeitung und Vertrieb), Anbieter digitaler Dienste sowie Forschungseinrichtungen. Hinsichtlich der Unternehmensgröße schreibt die Richtlinie erstmals einen EU-weit einheitlichen Schwellenwert vor. Erfasst werden grundsätzlich nur mittlere und große Einrichtungen der betroffenen Sektoren.Jedoch sieht die Richtlinie auch einen Katalog an Unternehmen vor, die unabhängig von ihrer Größe erfassen werden. Die Mitgliedstaaten haben außerdem die Möglichkeit, diesen Katalog noch zu erweitern.

Von der NIS-2-Richtlinie betroffene Unternehmen und Einrichtungen müssen entsprechende Maßnahmen zum Risikomanagement vornehmen – unter Berücksichtigung des Stands der Technik und der Umsetzungskosten. So müssen insbesondere Konzepte für  die Risikoanalyse und Sicherheit für Informationssysteme, für die Bewältigung von Sicherheitsvorfällen, für die Aufrechterhaltung des Betriebs im Störfall und Krisenmanagement, für die Sicherheit der Lieferkette und für die Sicherheit des Personals sowie der Verwendung von Lösungen zur Authentifizierung erarbeitet werden (vgl. Art. 21 Abs. 2 der NIS-2-Richtlinie).

Um Sicherheitsvorfälle zu melden, ist ein mehrstufiger Ansatz vorgesehen. Kommt es zu einem erheblichen Sicherheitsvorfall, muss unverzüglich und spätestens binnen 24 Stunden eine Frühwarnung übermittelt werden. Hierauf hat innerhalb von 72 Stunden nach Kenntniserlangung des Sicherheitsvorfalls eine Meldung zu folgen. Innerhalb eines Monats ist ein Abschlussbericht vorzulegen. Zudem ist absehbar, dass die Behörden zu strengeren Aufsichts- und Durchsetzungsmaßnahmen befähigt werden. So sind in der Richtlinie unter anderem Vor-Ort-Kontrollen, regelmäßige Sicherheitsprüfungen und Ad-Hoc-Prüfungen vorgesehen.

Sanktionen für den Fall der Zuwiderhandlung müssen die Mitgliedstaaten selbst festlegen. Jedoch sieht die Richtlinie bereits einen maximalen Haftungsrahmen bei wichtigen Einrichtungen von mindestens 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes bzw. bei wesentlichen Einrichtungen von mindestens 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes vor. Die Richtlinie regelt zudem eine persönliche Haftung der Unternehmensleitung.

Die NIS-2-Richtlinie wurde am 27. Dezember 2022 veröffentlicht. Sie tritt am zwanzigsten Tag nach ihrer Veröffentlichung, also am 16. Januar 2023, in Kraft. Die Mitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen.

3. IT-Compliance für betroffene Unternehmen

Für betroffene Unternehmen wird es aufgrund der NIS-2-Richtlinie noch wichtiger, sich mit dem Thema IT-Compliance auseinanderzusetzen. Auch die Geschäftsführung bzw. hier in erster Linie, aber nicht ausschließlich das Mitglied der Geschäftsleitung, in dessen Ressort das Thema „IT“ fällt, muss ausreichende Risikomanagementkenntnisse nachweisen. Erforderlich ist ein Aufbau von Kompetenzen sowohl im IT-Bereich als auch in der Notfallkommunikation.

Es empfiehlt sich, schon vor Ablauf der gesetzlichen Umsetzungsfrist ein Informationssicherheitsmanagementsystem (ISMS) beispielsweise nach den Anforderungen der ISO 27001 oder dem BSI IT-Grundschutz zu implementieren. Zudem können durch ein ISMS die IT-Sicherheitsmaßnahmen im Unternehmen gesteuert und überwacht werden. Bei Zertifizierung des ISMS in einem Audit kann dies darüber hinaus als rechtssicherer Nachweis gegenüber Versicherern und Behörden verwendet werden.

IT-Dienstleister müssen ebenfalls über ein angemessenes, dokumentiertes und implementiertes Sicherheitskonzept und ein ISMS, jeweils z. B. gemäß ISO 27001, einschließlich eines Notfallmanagements verfügen. Dies sollte bei Beauftragung stets vertraglich vereinbart werden.

Das Sicherheitskonzept hat sich an ISO 27017 auszurichten. Sofern personenbezogene Daten verarbeitet werden, hat es sich außerdem an ISO 27018 auszurichten. Zudem ist es empfehlenswert, sich dies vom Auftragnehmer durch Vorlage gültiger Zertifikate oder gleichwertiger Nachweise bestätigen zu lassen. Sicherheitskonzept, ISMS und Zertifikate müssen, soweit auf die zu erbringende Leistung anwendbar, diese vollumfänglich abdecken und entsprechend des festgelegten Prüfungsturnus im relevanten Standard erneuert werden.

4. Arbeitsrechtliche Auswirkungen

Die durch die NIS-2-Richtlinie gestiegenen Anforderungen an die Einhaltung der Cybersicherheit haben auch Auswirkungen auf das Arbeitsrecht. Die umzusetzenden Maßnahmen betreffen sowohl die individualrechtliche als auch die betriebsverfassungsrechtliche Ebene.

So dürften insbesondere IT-Sicherheitsrichtlinien zu aktualisieren sein und Gegenstand der Arbeitsverhältnisse mit den Beschäftigten werden. In der Regel können entsprechende Richtlinien auf Grundlage des arbeitgeberseitigen Direktionsrechts einseitig eingeführt werden (§ 106 GewO). Nur dann, wenn durch die neuen Regelungen das Pflichtenverhältnis in bestehenden Arbeitsverhältnissen entgegen der bisherigen Praxis konkretisiert oder neue Pflichten begründen werden, bedarf es der Zustimmung des jeweiligen Beschäftigten.

Je nach Ausgestaltung des Inhalts der IT-Sicherheitsrichtlinie können sich außerdem Mitbestimmungsrechte des Betriebsrats ergeben, sofern hierdurch das Ordnungsverhalten der Beschäftigten im Sinne des § 87 Abs. 1 Nr. 1 BetrVG betroffen ist. Wird durch die IT-Sicherheitsrichtlinie hingegen lediglich die Arbeitspflicht der Beschäftigten konkretisiert, beispielsweise durch Vorgabe des Verhaltens bei einem Cybersicherheitsvorfall, so unterliegt dies nicht der Mitbestimmung durch den Betriebsrat.

Die NIS-2-Richtlinie sieht außerdem Schulungen im Bereich der Cybersicherheit vor, sodass – je nach konkreter Umsetzung durch die Mitgliedsstaaten – möglicherweise ein Schulungsanspruch der Beschäftigten eingeführt wird. In diesem Fall wäre die Mitbestimmung des Betriebsrats gemäß § 98 Abs. 1 BetrVG hinsichtlich der konkreten Art und Weise der Schulung eröffnet. Wird die Schulung mittels einer Software durchgeführt, bestünden zudem Mitbestimmungsrechte bei der Einführung einer solchen IT-Software gemäß § 87 Abs. 1 Nr. 6 BetrVG.

Da die NIS-2-Richtlinie die Anforderungen an die unternehmerischen Maßnahmen zur Gewährleistung der Cybersicherheit deutlich erhöht, sollten Unternehmen bereits jetzt – auch im eigenen Interesse – ihre bisher eingesetzten IT-Sicherheitssysteme überprüfen und aktualisieren. Auch in diesem Zusammenhang ist die Mitbestimmung des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG eröffnet.

Aus Systemupdates kann sich außerdem ein Schulungsbedarf derjenigen Beschäftigten ergeben, die die Systeme nutzen und administrieren. Auch hier muss der Betriebsrat nach § 98 Abs. 1 BetrVG beteiligt werden.

5. Fazit

Die gesetzlichen Vorgaben im Bereich der Cybersicherheit werden durch die NIS-2-Richtlinie deutlich ausgedehnt. Unternehmen sollten deshalb jetzt prüfen, inwiefern sie selbst von den in den nächsten Jahren anstehenden Neuerungen betroffen sind und sich rechtzeitig mit den Auswirkungen für den eigenen Betrieb auseinandersetzen, sowohl im Hinblick auf Fragen der IT-Compliance als auch auf die arbeitsrechtliche Umsetzung.

Gerade aufgrund des auf dem IT-Markt herrschenden Fachkräftemangels drängt sich eine vorausschauende Planung auf. Letztlich dient eine am neuesten Stand der Technik ausgerichtete IT-Sicherheitsarchitektur nicht nur dem Zweck, gesteigerten gesetzlichen Anforderungen nachzukommen, sondern sollte im ureigenen Interesse eines jeden Unternehmens sein, um Produktionsabläufe und sensible Unternehmensdaten zu schützen.

Zurück zur Übersicht