Automobilhersteller¹, Medienunternehmen², Bundestag³, Uni-Kliniken⁴, Kreisverwaltungen⁵ aber vor allem auch Unternehmen aus dem Mittelstand⁶ – all diese Einrichtungen wurden in der jüngeren Vergangenheit Opfer vor Cyberangriffen. Hackergruppierungen greifen Kundendaten ab oder verlangen Lösegelder, um den Zugriff auf die IT-Systeme wieder freizugeben. Trotz bereits bestehender deutscher und europäischer Rechtsakte zum Schutze der Cybersicherheit gelingt es Kriminellen immer wieder, öffentliche Einrichtungen und Unternehmen „per Mausklick“ lahm zu legen. 

Die Europäische Kommission hat jüngst als Reaktionen auf derartige Vorfälle umfassend von ihrem Initiativrecht Gebrauch gemacht und weitere Rechtsakte auf den Weg gebracht, um die Cybersicherheit sowie die physische Sicherheit von Einrichtungen der Kritischen Infrastruktur, aber auch die Cybersicherheit von digitalen Verbraucherprodukten zu stärken.

Dieser Beitrag gibt einen ersten Überblick über die neuen Rechtsakte.

I. Cybersicherheit, Informationssicherheit, IT-Sicherheit, physische Sicherheit

Um die verschiedene Rechtsakte richtig einordnen zu können, ist zunächst erforderlich, die – teils im öffentlichen Diskurs nicht immer zutreffend verwendeten – Begriffe zu entschlüsseln:

Die IT-Sicherheit betrifft den Schutz der Verfügbarkeit, Integrität und Vertraulichkeit informationstechnischer Systeme. Nach dem deutschen Verständnis dient die IT-Sicherheit vor allem dem Schutz der mit den Systemen verarbeiteten Informationen. Damit ist die IT-Sicherheit Teil der Informationssicherheit, die ihrerseits auch den Schutz nicht-technischer Systeme umfasst.⁷ 

Demgegenüber nimmt der Begriff der Cybersicherheit weniger das IT-System als solches in den Blick, sondern die vernetzte Welt unzähliger Systeme, somit den gesamten digitalen Raum, der mitunter auch als „Cyberspace“ bezeichnet wird.⁸

In Abgrenzung dazu ist die physische Sicherheit als der Schutz von Einrichtungen vor unmittelbaren körperlichen Einwirkungen wie mechanische Beeinflussungen durch Personen, technische Defekte oder Umweltkatastrophen zu verstehen.

II. Die neuen Rechtsakte im Überblick

NIS-2 Richtlinie⁹

Zur Erhöhung der Cybersicherheit hat der europäische Gesetzgeber am 14.12.2022 die NIS-2-Richtlinie verabschiedet. Diese ist durch die Mitgliedsstaaten bis zum 17.10.2024 ins nationale Recht umzusetzen.¹⁰ Das zuständige Bundesministerium des Innern (BMI) hat bereits einen ersten Referentenentwurf des Umsetzungsgesetzes erstellt, der eine folgenreiche Neustrukturierung des deutschen Cybersicherheitsrechtes erahnen lässt.¹¹

Die NIS-2-Richtlinie beerbt die NIS-Richtlinie aus dem Jahre 2016.¹² Während die NIS-Richtlinie insbesondere den „wesentlichen Diensten“ und den „Anbietern digitaler Dienste“ Pflichten zur Stärkung der Cybersicherheit auferlegte, erweitert die NIS-2-Richtlinie den Anwendungsbereich auf „wesentliche und wichtige Einrichtungen“, wobei auch neue (kritische) Sektoren hinzukommen. Zudem werden Schwellenwerte, die für die Anwendung des Gesetzes relevant sind, abgesenkt. Daher werden die Anforderungen für eine Vielzahl von Unternehmen verpflichtend, die bislang nicht im Anwendungsbereich des Gesetzes lagen.

Die NIS-2-Richtlinie sieht einen umfangreichen Compliance-Maßnahmenkatalog vor, den die Verpflichteten zu erfüllen haben – worüber sie Nachweise zu erbringen haben.¹³ Ferner werden Meldepflichten bei Cybersicherheitsvorfällen wie etwa Hackerangriffen verschärft.¹⁴ Bei schwerwiegenden Angriffen auf wesentliche Einrichtungen müssen Unternehmen innerhalb von 24 Stunden Meldung bei den zuständigen Aufsichtsbehörden erstatten. Bei Zuwiderhandlung oder Nicht-Einhaltung der Vorgaben der NIS-2-Richtlinie drohen empfindliche Bußgelder, persönliche Haftung oder gar Suspendierungen der Leitungsorgane.¹⁵ Flankiert wird die NIS-2-Richtlinie durch sektorspezifische Regulierung. Etwa für den Finanzsektor hat die EU die Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors verabschiedet, die ab dem 17.01.2025 unmittelbar Anwendung finden wird, ohne dass es einer Transformation ins nationale Rech bedarf.¹⁶

Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie)¹⁷

Zeitgleich verabschiedet und ebenfalls bis zum 17.10.2024 umzusetzen ist die Richtlinie über die Resilienz kritischer Einrichtungen (CER). Nach dieser Richtlinie sind Betreiber kritischer Einrichtungen verpflichtet, Maßnahmen zur Resilienz einzuführen. Resilienz im Sinne der Richtlinie ist dabei die Fähigkeit, Sicherheitsvorfälle zu verhindern bzw. sich davor zu schützen sowie angemessen die Folgen eines eingetreten Vorfalls zu begrenzen.¹⁸ Ziel ist es, das Ausfallrisiko von Prozessen zu mindern. Dafür werden Pflichten zur Risikobewertung, Maßnahmenkataloge, Überprüfungsmaßnahmen und Meldepflichten normiert.¹⁹ Aufsichtsbehörden erhalten umfassende Aufsichts- und Durchsetzungsmechanismen, an deren Ende wiederum die Verhängung von Sanktionen stehen können.²⁰

Cyberresilienz²¹

Zukunftsmusik ist hingegen noch das Gesetz über die Cyberresilienz von Produkten mit digitalen Elementen. Die Europäische Kommission hatte ihren Entwurf am 15.09.2022 vorgestellt, wann eine Einigung erzielt wird, ist derzeit nicht absehbar. 

Adressaten dieser Verordnung sind die Hersteller, Importeure und Vertriebler von digitalen Produkten. Hierzu werden sowohl Hardware als auch Software zählen. Ziel des Vorhabens ist es, den Grundsatz „Security by Design“ derart in die Produktentwicklung zu integrieren, dass die Cybersicherheit auf Verbraucherebene gestärkt wird. Dies soll unter anderem durch Updatepflichten über den gesamten Lebenszyklus eines Produktes und fortlaufende Konformitätsüberprüfungen sichergestellt werden. Von besonderer Bedeutung ist auch hier die knapp bemessene zweijährige Frist, mit deren Ablauf die Verordnung Anwendung finden wird: Produkthersteller sind gut beraten, die Vorgaben des Entwurfes der Cyberresilienzverordnung bereits jetzt zu berücksichtigen, dürfte der Entwicklungsvorlauf von digitalen Produkten doch regelmäßig länger als 24 Monate betragen.

III. Handlungsbedarf mit unserer Unterstützung

Auch wenn die Umsetzung der NIS-2-Richtlinie und der CER-Richtlinie sowie die finale Fassung der Cyberresilienzverordnung noch abzuwarten sind, besteht bereits jetzt Handlungsbedarf. Interne Prozesse anzupassen und Managementsysteme aufzubauen, um im Herbst 2024 vorbereitet zu sein, ist für die adressierten Unternehmen eine Pflichtaufgabe – allein, um Sanktionen und Reputationsschäden zu vermeiden.

Gerne ermitteln wir mit Ihnen gemeinsam, ob und welche Rechtsakte für Sie relevant sein werden und unterstützen Sie bei der Planung und Implementierung von daraus resultierenden Compliance-Maßnahmen.

Ein besonderer Dank gilt Lewin Rexin, Rechtsreferendar des Teams, für den wertvollen Beitrag bei der Erstellung dieses Beitrags.

1. https://www.faz.net/aktuell/wirtschaft/hackerangriff-auf-italienischen-autohersteller-ferrari-18764503.html.↩
2. https://www.spiegel.de/netzwelt/deutsche-presse-agentur-offenbar-opfer-eines-hackerangriffs-a-1e64d0e5-4190-4b32-9ad7-d41eec028364.↩
3. https://www.sueddeutsche.de/politik/hackerangriff-auf-den-bundestag-gesamtes-it-netz-des-bundestages-muss-ausgetauscht-werden-1.2519934.↩
4. https://www.handelsblatt.com/technik/sicherheit-im-netz/cyberkriminalitaet-todesfall-nach-hackerangriff-auf-uni-klinik-duesseldorf/26198688.html.↩
5. https://www.mdr.de/nachrichten/deutschland/hacker-netzwerk-enttarnt-angriff-verwaltung-anhalt-bitterfeld-102.html.↩
6. https://www.tagesschau.de/wirtschaft/unternehmen/mittelstaendler-cyber-attacken-101.html↩
7. Hornung/Schallbruch/Schallbruch, IT-Sicherheitsrecht, § 5 IT-Sicherheit aus gesamtgesellschaftlicher Sicht, Rn. 2.↩
8. Hornung/Schallbruch/Schallbruch, a.a.O. Rn. 6.↩
9. https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2555.↩
10. Art. 41 Abs. 1 NIS-2-RL.↩
11. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, https://intrapol.org/2023/05/10/refe-fuer-ein-nis-2-umsetzungs-und-cybersicherheitsstaerkungsgesetz-nis2umsucg/.↩
12. Art. 44 S. 1 NIS-2-RL.↩
13. Art. 22 NIS-2-RL.↩
14. Art. 23 NIS-2-RL.↩
15. Art. 32, 33 NIS-2-RL.↩
16. https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022R2554.↩
17. https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L2557&from=EN#d1e650-164-1↩
18. Art. 2 Nr. 2 CER-RL.↩
19. Kapitel III der CER-RL.↩
20. Art. 21, 22 CER-RL.↩
21. https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act.↩