Cybersicherheit:
Gesetz zur Umsetzung der NIS-2-Richtlinie
Das Bundeskabinett hat am 24. Juli 2024 den Gesetzentwurf des Bundesministeriums des Innern und für Heimat zur Umsetzung der NIS-2-Richtlinie der Europäischen Union in nationales Recht und Stärkung der Cybersicherheit beschlossen. Der Regierungsentwurf wurde am 11. Oktober 2024 vom Bundestag in die Fachausschüsse überwiesen. Nun wird der Entwurf das weitere parlamentarische Gesetzgebungsverfahren durchlaufen und soll bis März 2025 in Kraft treten. Es empfiehlt sich, den Aspekt der Cybersicherheit deswegen bereits jetzt mit Hochdruck in den Blick zu nehmen, um Verzögerungen bei der Umsetzung der zukünftigen gesetzlichen Anforderungen für betroffene Unternehmen zu vermeiden.
Hintergrund
Die mit dem geplanten Gesetz einhergehende Neufassung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz) sieht unter anderem vor, dass betroffene Unternehmen Risikomanagementmaßnahmen im Bereich Cybersicherheit etablieren müssen. Diese beinhalten beispielsweise die Entwicklung von Konzepten zur Bewertung von informationstechnischen Sicherheitsrisiken, die Implementierung von Sicherheitskonzepten sowie die Einrichtung von Auswertungsverfahren zur Überprüfung der Wirksamkeit der Maßnahmen.
Darüber hinaus ist eine Registrierungspflicht für die betroffenen Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik vorgesehen und die Unternehmen haben Meldepflichten bei Sicherheitsvorfällen einzuhalten. Diese Unternehmen sind nicht nur dann von den Anforderungen des BSI-Gesetzes betroffen, wenn sie direkt dem gesetzlichen Anwendungsbereich unterliegen, sondern auch bei indirekter Auswirkung über die Lieferkette!
Wenn Sie bzw. Ihr Unternehmen eine der folgenden Fragen mit „ja“ beantworten können, sind Sie direkt vom Anwendungsbereich des BSI-Gesetzes erfasst:
- Sind Sie Betreiber von kritischen Anlagen, die der Versorgung der Allgemeinheit dienen?
- Sind Sie Vertrauensdiensteanbieter, qualifizierter Vertrauensdiensteanbieter, Top Level Domain Name Registry oder DNS-Diensteanbieter?
- Sind Sie Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Kommunikationsnetze?
- Sind Sie ein Unternehmen
- mit mindestens 50 Mitarbeitenden oder
- einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro, das entgeltlich Waren oder Dienstleistungen anbietet, aus einem der nachfolgenden Sektoren:
Energie, Transport und Verkehr, Finanzwesen, Gesundheit, Wasser, digitale Infrastruktur, Weltraum, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste oder Forschung?
Aber auch Unternehmen, die nicht unmittelbar in den Anwendungsbereich des BSI-Gesetzes fallen, werden von den Regelungen betroffen sein. Denn die nach dem BSI-Gesetz direkt verpflichteten Unternehmen haben auch Maßnahmen zu treffen, um die Cybersicherheit innerhalb ihrer Lieferketten sicherzustellen. Die neuen Compliance-Verpflichtungen werden die verpflichteten Unternehmen somit innerhalb der Lieferkette weitergeben. Wenn Ihr Unternehmen also innerhalb der Lieferkette eines nach den oben genannten Kriterien verpflichteten Unternehmens tätig ist, überprüfen Sie bitte ebenfalls Ihre Risikomanagementmaßnahmen.
Praxishinweis
Die Behörden teilen Ihnen nicht mit, ob Ihr Unternehmen Pflichten nach dem BSI-Gesetz treffen. Ihr Unternehmen muss sich selbst anhand der im Gesetz vorgesehenen Kriterien beurteilen oder sich diesbezüglich beraten lassen. Bei Verstößen gegen die Pflichten sieht das BSI-Gesetz Bußgelder in Höhe von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes vor.
Gern prüfen wir gemeinsam mit Ihnen im Rahmen einer NIS-2-Betroffenheitsprüfung Ihren Handlungsbedarf und die weiteren notwendigen Schritte zur Erfüllung Ihrer Pflichten nach dem BSI-Gesetz. Dabei beraten wir Sie bei Bedarf auch zur Entwicklung von IT-Sicherheitskonzepten für Ihr Unternehmen.
Ansprechpartner
Alexander Hausner, LL. M.
Rechtsanwalt,
Fachanwalt für Arbeitsrecht,
zert. Datenschutzbeauftragter
Telefon: +49 40 4223 6660-44