Ende Dezember 2022 hat die EU die sog. NIS2-Richtlinie (= „Richtline über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“ oder „Netzwerk- und Informationssicherheits-Richtlinie“) verabschiedet. Diese Richtlinie stellt eine Weiterentwicklung der ersten NIS-Richtlinie aus dem Jahr 2016 dar. Seit kurzem liegt nun ein erster Referentenentwurf für das „NIS2-Umsetzungs- und Cybersicherheitsstärkungs-Gesetz“ (NIS2UmsuCG) vor.
Der Entwurf sieht eine umfassende Überarbeitung des BSIG vor. Während dieses ursprünglich nur die Aufgaben des BSI als Behörde und Vorgaben für Betreiber kritischer Infrastrukturen (die sog. Kritis-Unternehmen), Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse (UBIs) enthielt, wird der Anwendungsbereich nun noch einmal deutlich erweitert (§ 28 BSIG-E). Teilweise abhängig vom Tätigkeitssektor, teilweise abhängig von der Unternehmensgröße und vom Tätigkeitssektor wird in der Zukunft zwischen Kritis-Unternehmen sowie besonders wichtigen und wichtigen Unternehmen unterschieden. Dabei kann auch schon ein mittleres Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz von mindestens 10 Mio. Euro in den Anwendungsbereich des neuen BSIG fallen. Das BISG entwickelt sich damit immer mehr zu dem zentralen IT-Sicherheitsgesetz in Deutschland.
Für die Cyber-Versicherung, aber auch andere Versicherungen wie die D&O-Versicherung und das IT-Recht ist diese Entwicklung nicht zu unterschätzen und sollte bis zum Inkrafttreten des Gesetzes im Oktober 2024 genau beobachtet werden. Denn das neue Gesetz bringt nun klarere und umfassendere Anforderungen an die IT-Sicherheit in Unternehmen mit sich – mithin Compliance-Anforderungen, an denen Unternehmen sich in den unterschiedlichsten rechtlichen Zusammenhängen werden messen lassen müssen. Das gilt für das Haftungsrecht wie für das Versicherungsrecht gleichermaßen.
Was bedeutet dies im Einzelnen? Unternehmen müssen – mit Abweichungen und zusätzlichen Anforderungen abhängig vom Tätigkeitssektor – in der Zukunft vorbeugende Maßnahmen ergreifen, um ihre informationstechnischen Systeme, Komponenten und Prozesse sowie die Umwelt vor Sicherheitsvorfällen zu schützen (§ 30 BSIG-E). Mindestens müssen dabei vorliegen:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
- Bewältigung von Sicherheitsvorfällen,
- Aufrechterhaltung des Betriebs, wie Backup-Managment und Wiederherstellung nach einem Notfall und Krisenmanagement,
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Bislang waren viele dieser Maßgaben nicht im BSIG geregelt, sondern in Empfehlungen, Hinweisen und anderen Veröffentlichungen des BSI. Besonders hervorzuheben ist dabei, dass dieser Katalog sich nicht auf die IT-Sicherheit im Unternehmen beschränkt, sondern auch Lieferbeziehungen mit einbezieht. In der Zukunft werden sich Unternehmen also auch Gedanken darüber machen müssen, ob und wie ihre Geschäftsbeziehungen die IT-Sicherheit des Unternehmens beeinflussen.
Besondere Brisanz dürfte dabei die in § 38 BSIG-E vorgesehene Regelung entfalten:
Geschäftsleiter werden dazu verpflichtet, die Einhaltung der oben genannten Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen. Und: Die Beauftragung eines Dritten zur Erfüllung dieser Verpflichtungen ist nicht zulässig.
Die Praxis in Unternehmen sieht – ungeachtet von auf dem Papier vorhandenen Auditierungs- und Kontrollmechanismen oder Standardvertragsklauseln – derzeit freilich völlig anders aus. Immer wieder ist festzustellen, dass sich Unternehmen auf ihre Dienstleister verlassen und ganze IT-Systeme inklusive der IT-Sicherheit outsourcen. Pflichten etc. werden in umfangreichen Verträgen auf Dienstleister übertragen, während wirksame Kontroll- und Zugriffsmöglichkeiten oft fehlen. Das zeigt sich allzu oft leider erst im Schadenfall. Auch standardisierte Klauseln dienen in diesem Zusammenhang oft eher der Freizeichnung von einer eigenen Verantwortung oder Befassung mit der IT-Sicherheit. Gerade bei größeren Unternehmen und nicht selten mehreren Dienstleistern, die für unterschiedlichste Systemteile und Sicherheitsfragen zuständig sind, trifft man nicht selten eine Verantwortungsdiffusion an. Die NIS2-Richtlinie und der BSIG-E gehen hier einen entschieden anderen Weg, was sehr zu begrüßen ist und deutlich wirksamer sein dürfte. Für Unternehmensleiter wird dies neue Compliance- und damit Haftungsrisiken bedeuten, was wiederum für die D&O-Versicherung von Interesse ist. Für Cyber-Versicherungen dürfte das eine deutliche Schärfung von gesetzlichen wie vertraglichen Obliegenheiten bedeuten, da sich dem Thema Cybersicherheit die Unternehmensleiter damit nicht mehr entziehen können.
Ansprechpartner
RA Dr. Franz König, LL.M., Köln
franz.koenig@bld.de