Pflichtenverschärfung im Bereich der Cybersicherheit für Unternehmen durch die NIS-2-Richtlinie der Europäischen Union

Die Digitalstrategie der Europäischen Kommission hat einige neue EU-Rechtsakte generiert, die die Cybersicherheit in der Europäischen Union stärken sollen. Dazu gehört die NIS-2-Richtlinie vom 10. November 2022, die bis Oktober 2024 in deutsches Recht umgesetzt werden muss.

Sie verpflichtet Unternehmen grundsätzlich, geeignete und verhältnismäßige technische, organisatorische und operative Maßnahmen zu treffen, um die IT- Sicherheit im Unternehmen zu gewährleisten. Es soll gegenüber den bis dato geltenden Richtlinien eine Verschärfung der Sicherheitspflichten erreicht werden, auch für die Unternehmen, deren Geschäfte weder digital noch datenintensiv sind. Aktuell sind Cybersicherheitspflichten in Deutschland u.a. im BSIG, in der DSGVO und im TTDSG geregelt.

Das BSIG schränkt die vom Anwendungsbereich der erhöhten Cybersicherheitspflichten erfassten Unternehmen auf die Betreiber kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse ein.

Die Datenschutz-Grundverordnung normiert die IT-Sicherheit in erster Linie als Datensicherheit.

Das TTDSG enthält ebenfalls Cybersicherheitspflichten für die Anbieter von Telemedien. Diese Pflichten treffen zahlreiche Unternehmen, da bereits die Web-Seite oder der Online-Shop von Unternehmen Telemedien darstellen.

Die NIS-2-Richtlinie, und damit auch das zu erwartende nationale Gesetz, werden den Anwendungsbereich der erhöhten Cybersicherheitspflichten auf eine weitere Anzahl von Unternehmen erweitern. So werden z.B. auch produzierende Industrieunternehmen mit mehr als 50 Mitarbeitern und einem Jahresumsatz von mehr als 10 Mio. Euro erfasst werden, auch wenn die Geschäftsmodelle nicht digital oder mit besonderem Bezug zu Daten verbunden sind.

Es ist vorgesehen, den Pflichtenkreis zum Risikomanagement genau zu definieren und zu erweitern.

Verschärft werden sollen auch die Pflichten zur Meldung von erheblichen Sicherheitsvorfällen.

Absolut denkbar ist auch, das hier kommunale Unternehmen in die Pflicht genommen werden.

Neu ist insbesondere die uneingeschränkte Überwachungspflicht der Geschäftsleitung bezüglich der Sicherstellung der geeigneten Maßnahmen zur Minimierung der Cyberrisiken. Es soll eine Pflicht geben, Schulungen zur IT-Sicherheit für die Leitungsebene und andere Mitarbeiter anzubieten. Die Delegierung dieser Pflichten soll ausgeschlossen werden, die Letztverantwortung soll final bei der Geschäftsleitung verbleiben. Verletzt die Geschäftsleitung diese verschärften Compliance Pflichten, wird sie gegenüber dem Unternehmen schadensersatzpflichtig. Nach dem bereits vorliegenden Gesetzesentwurf soll ein Verzicht oder Vergleich über die Schadensersatzansprüche ausgeschlossen sein.

Sebastian Tempel
Rechtsanwalt