Die rechtlichen Anforderungen an die IT-Sicherheit in Unternehmen ändern sich in 2024. Bis zum 17.10.2024 ist die NIS-2-Richtlinie durch die Mitgliedsstaaten in nationales Recht umzusetzen.¹ In Deutschland wird hierfür das BSI-Gesetz aktualisiert. Die (kommenden) Änderungen im Cyber-Sicherheitsrecht haben wir bereits an anderer Stelle thematisiert. In diesem Beitrag wollen wir spezifische Compliance-Anforderungen des neuen Cybersicherheitsrechts betrachten und einen Vergleich zum Datenschutz und Geschäftsgeheimnisschutz ziehen. So viel sei vorab verraten: Unternehmen sollten den Schutz von (personenbezogenen) Daten, wichtigen geschäftlichen Informationen (Geschäftsgeheimnissen) und der Cyber-Sicherheit ganzheitlich denken.

Welche neuen Compliance-Anforderungen bringt das Cybersicherheitsrecht?

Wenngleich das Umsetzungsgesetz zur Änderung des BSI-G aufgrund der NIS-2-Richtlinie noch nicht verabschiedet ist, lässt sich aus dem Referentenentwurf² des Bundesministeriums des Innern (BMI) sowie unter Zugrundelegung der Richtlinie selbst, bereits die Neustrukturierung des deutschen Cybersicherheitsrechts erkennen. 

Neue Adressaten des Cybersicherheitsrechts

• Die aktuelle NIS-Richtlinie (umgesetzt im aktuellen BSI-Gesetz) verpflichtet insbesondere Betreiber von „wesentlichen Diensten“ und „Anbieter digitaler Dienste“ zur Stärkung der Cybersicherheit. Die NIS-2-Richtlinie erweitert den Anwendungsbereich auf wesentliche und wichtige Einrichtungen, wobei auch neue (kritische) Sektoren hinzukommen. 
• Die Schwellenwerte für die Anwendung des Gesetzes abgesenkt. Damit werden die Cybersicherheitsanforderungen für eine Vielzahl von Unternehmen verbindlich, die bisher nicht in den Anwendungsbereich des Gesetzes fielen.

Verantwortlichkeit

• Die NIS-2-Richtlinie sieht einen umfangreichen Compliance-Maßnahmenkatalog vor, den die Verpflichteten erfüllen und dessen Einhaltung sie nachweisen müssen.³
• Die Verantwortlichkeit hinsichtlich der Einhaltung der gesetzlichen Vorgaben wird durch Art. 20 NIS-2-RL⁴ ausdrücklich der Geschäftsleitung zugeteilt. 
• Bei Zuwiderhandlung oder Nicht-Einhaltung der Vorgaben des Cybersicherheitsrechts drohen künftig neben empfindlichen Bußgeldern auch eine persönliche Haftung oder sogar die Suspendierung der Leitungsorgane.⁵

Technische und organisatorische Maßnahmen 

• Die NIS-2-Richtlinie verlangt in Art. 21 NIS-2-RL, dass besonders wichtige Einrichtungen und wichtige Einrichtungen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen unter Berücksichtigung des Standes der Technik treffen, um Störungen der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.⁶
• Die Angemessenheit der Maßnahmen ergibt sich aus dem Verhältnis zwischen Risiko und (finanziellem) Aufwand der Implementierung.⁷

Meldepflichten nach 24 und 72 Std.

• Tritt ein erheblicher Sicherheitsvorfall ein, also ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigt, muss das jeweilige Unternehmen den Vorfall melden. 
• Dabei gilt: Binnen 24 Stunden nach Kenntniserlangung ist eine Meldung in Form der Frühwarnung an das CSIRT⁸ zu melden. Innerhalb von 72 Stunden nach Kenntniserlangung muss die Meldung dann aktualisiert werden. 

Daten- und Informationssicherheit ganzheitlich gedacht – Wo ist das möglich?

Die Anforderungen des Cybersicherheitsrechts sind teilweise mit denen des Datenschutzrechts und sogar mit jenen des Geschäftsgeheimnisschutzes vergleichbar. Dies gilt etwa für die Einführung von technischen und organisatorischen Schutzmaßnahmen aber auch für Meldepflichten. Die Gemeinsamkeiten stellen wir nachstehend einmal im Überblick dar: 

Beispiel: Technische und organisatorische Maßnahmen (TOM) zum Schutz von IT, Daten und Geschäftsgeheimnissen

• Technische und organisatorische Maßnahmen sind sowohl nach Cybersicherheitsrecht wie auch nach Datenschutzrecht und auch zum Schutz von Geschäftsgeheimnissen erforderlich. 

Was sehen die Gesetze vor?

Die DS-GVO verpflichtet Verantwortliche zur Implementierung von geeigneten technischen und organisatorischen Sicherheitsmaßnahmen in Art. 32 DS-GVO. Nach der NIS-2-Richtlinie müssen Risikomanagementmaßnahmen in Form von geeigneten technischen, operativen und organisatorischen Maßnahmen nach dem Stand der Technik getroffen werden, um Sicherheitsrisiken beherrschen zu können.⁹ Zwar verpflichtet das Geschäftsgeheimnisgesetz ein Unternehmen – auf den ersten Blick – nicht zur Einführung technisch- organisatorischer Schutzmaßnahmen. Auf den zweiten Blick wird aber klar, dass angemessene Geheimhaltungsmaßnahmen zum Schutz von Informationen gemäß § 2 Nr. 1 lit. b GeschGehG die Voraussetzung dafür sind, dass bestimmte Informationen überhaupt erst den rechtlichen Status und Schutz eines Geschäftsgeheimnisses erlangen. Damit sind solche Maßnahme eben doch verpflichtend, wenn Informationen als Geschäftsgeheimnisse geschützt werden sollen.

Welche Maßnahmen kommen in Frage?

Die möglichen technischen und organisatorischen Schutzmaßnahmen für die genannten Gesetze gleichen sich zum Teil, jedenfalls bis zu einem bestimmten Schutzniveau. So ist etwa ein Rechte- und Rollenkonzept, das den Zugriff auf Daten, Informationen und IT-Systeme regelt, eine taugliche Maßnahme für jedes der genannten Gesetze. Das macht eine zentrale Steuerung der entsprechenden Maßnahmen im Unternehmen effektiv und effizient. 

Beispiel: Meldepflichten bei Sicherheitsvorfällen

• Sicherheitsvorfälle sind sowohl nach dem Datenschutzrecht, wie auch nach dem Cybersicherheitsrecht innerhalb kurzer Zeit zu melden.

Was sehen die Gesetze vor?

Die Datenschutz-Grundverordnung sieht eine Meldepflicht im Falle einer Verletzung der Datensicherheit vor (Art. 4 Nr. 12 DS-GVO, Art. 33 DS-GVO). Ebenso verlangt das (aktuelle und auch das künftige) IT-Sicherheitsrecht (Art. 23 NIS-2-RL, § 31 BSIG-E) eine Meldung, wenn ein Sicherheitsvorfall (Art. 6 Nr. 6 NIS-2-RL, § 2 Nr. 36 BSIG-E) eintritt. Nach beiden Gesetzen ist das Unternehmen verpflichtet, den Vorfall schnell zu analysieren und der jeweils zuständigen Behörde mit bestimmten Informationen zu melden. Die DS-GVO gewährt dafür eine Höchstfrist von 72 Stunden ab Kenntniserlangung.¹⁰ Das BSIG-E verlangt eine erste Frühwarnmeldung bereits innerhalb von 24 Stunden und eine Aktualisierung dieser Meldung nach spätestens 72 Stunden.¹¹ Inhaltlich verlangen die Meldepflichten im Wesentlichen vergleichbare Informationen über den eingetretenen Vorfall. So sind etwa die zeitlichen und technischen Umstände des Vorfalls stets genau zu beschreiben, die gefährdeten Personengruppen (nach Kategorie oder Anzahl) zu bezeichnen und bereits getroffene oder geplante Maßnahmen darzulegen. Diese Informationen müssen jeweils unverzüglich an den jeweiligen Meldeempfänger bzw. den Adressaten einer Benachrichtigung übermittelt werden. 

Welche Maßnahmen kommen in Frage?

Um diese Anforderungen einhalten zu können, sind funktionierende und erprobte Incident Response Strukturen erforderlich. Nur dann sind die Verantwortlichkeiten im Unternehmen klar verteilt und erlauben ein schnelles und effektives Handeln. So können die relevanten Informationen eines Sicherheitsvorfalls gezielt verarbeitet und frist-gemäß an die jeweils zuständige Meldestelle übermittelt werden.

Empfehlung

Der Schutz von Daten, Informationen und IT-Strukturen wird nicht nur immer wichtiger, sondern ist auch gesetzlich vorgeschrieben. Bei der Einführung entsprechender Compliance-Strukturen können Unternehmen von den vergleichbaren strukturellen Anforderungen der gesetzlichen Pflichten profitieren und durch eine ganzheitliche Betrachtung ihrer Schutzmaßnahmen Synergien erzielen. Mit einem Blick auf das Unternehmen und dessen Assets (Daten- und Informationen) sollten geeignete Sicherheitsstrukturen entwickelt werden.

1. Art. 41 Abs. 1 NIS-2-RL.↩
2. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, abrufbar hier. ↩
3. Art. 22 NIS-2-RL.↩
4. Voraussichtlich umgesetzt durch § 38 BSIG-E.↩
5. Art. 32, 33 NIS-2-RL.↩
6. Der Entwurf der deutschen Umsetzung greift diese Regelung aktuell in § 38 BSIG-E auf.↩
7. Diese Pflicht wird voraussichtlich durch § 30 BSIG-E umgesetzt.↩
8. Das CSIRT ist laut Art. 10 NIS-2-RL ein Computer Notfallteam. Das Deutsche CSIRT wird im BSI eingerichtet, vgl. aktuelle Fassung des § 3 Abs. 1 Nr. 3 und § 5 Abs. 3 Nr. 5 BSIG-E.↩
9. Art. 21 NIS-2-RL.↩
10. Art. 33 Abs. 1 DS-GVO.↩
11. § 31 Abs. 1 Nr. 1 und 2 BSIG-E.↩