Startseite > Security > „Das Risiko verringern – darum geht es im Grunde mit NIS-2“

NIS-2-Richtlinie

„Das Risiko verringern – darum geht es im Grunde mit NIS-2“

13. März 2024, 9:00 Uhr | Interview: Diana Künstler

Stephan Schmidt, Fachanwalt für IT-Recht und Gründungspartner von TCI Rechtsanwälte

Für deutsche Unternehmen gilt ab dem 18. Oktober Anwendungspflicht der NIS-2-Richtlinie beziehungsweise deren deutschen Umsetzung, doch noch immer gibt es viele offenen Fragen. Einige davon haben wir Stephan Schmidt von TCI Rechtsanwälte gestellt.

connect professional: Die NIS-Richtlinie als solches gibt es ja bereits eine Weile, seit 2016 genauer gesagt. Warum „pressiert“ es jetzt so für Unternehmen mit der NIS-2-Richtlinie?

Stephan Schmidt: Die NIS-2¹ ist ein Teil der umfassenden Cybersicherheitsstrategie der Europäischen Union. Und sie rückt deswegen mehr in die öffentliche Wahrnehmung, weil sie deutlich mehr Unternehmen erfasst, als es die NIS-1 getan hat.

Konkret heißt das: Mit NIS-1 waren die klassischen KRITIS-Anbieter erfasst, also Betreiber kritischer Infrastruktur. Und die NIS-2 betrifft darüber hinaus deutlich mehr Unternehmen, insbesondere eben auch Unternehmen in der Lieferkette. Das kommt auch durch andere europäische Regelungen wie das Lieferkettensorgfaltspflichtengesetz² zustande. Deswegen sind einfach mehr Unternehmen erfasst beziehungsweise neue Bereiche, wie zum Beispiel die Abfallentsorgung.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Wen NIS-2 betrifft

connect professional: Ein wichtiger Punkt an dieser Stelle ist die Lieferkettenthematik. Das heißt, nicht nur das Unternehmen selbst könnte betroffen sein, sondern auch vielleicht Dienstleister, mit denen es zu tun hat. Was heißt das konkret?

Schmidt: In den Regelungen der NIS-2 beziehungsweise irgendwann dann in denen des deutschen Umsetzungsgesetzes³ sind ja bestimmte Unternehmen direkt erfasst. Da ist völlig klar, da kann ich als Unternehmen nachgucken: Was sind denn jetzt die Maßnahmen, die ich ergreifen muss? Und dazu gehört auch, dass ich die Sicherheit in der Lieferkette sicherstelle. Das heißt, ich muss mich auch darum kümmern, was für Lieferanten ich in den betroffenen Bereichen habe, die ich absichern muss. Eventuell muss ich vielleicht auch Verpflichtungen weitergeben.

Ein einfaches Beispiel ist an dieser Stelle die Meldepflicht: Ich habe als Unternehmen bei einem Sicherheitsvorfall einer bestimmten Schwere eine Meldepflicht gegenüber dem BSI innerhalb von 24 Stunden. Wenn ich aber in meinen Verträgen nicht sichergestellt habe, dass mir meine Dienstleister, die vielleicht relevant sind für diesen Sicherheitsvorfall, mir auch innerhalb von 24 Stunden antworten müssen, habe ich unter Umständen Probleme, meine Meldepflichten zu erfüllen. Relevant heißt nicht, dass die Dienstleister Verursacher sind, aber ich brauche vielleicht deren Mitwirkung, weil sie einen Teil meiner Infrastruktur betreiben oder zumindest supporten.

Es gibt natürlich auch viele andere Beispiele. So gibt es ausdrückliche Vorschriften, wo wir noch auf Rechtsverordnungen warten müssen, was zum Beispiel zertifizierte Hardware und Software angeht. An dieser Stelle ist es ganz offensichtlich: Da muss ich als von der NIS-2 erfasstes Unternehmen diese zertifizierten Produkte in bestimmten KRITIS-Bereichen einsetzen. Und dann ist es ganz klar, dass das natürlich auf den Lieferanten dieses Produkts durchschlägt.

Der Fachanwalt für IT-Recht erläutert am Beispiel der Meldepflicht mit NIS-2, welche Konsequenzen sich damit für Verträge mit Dienstleistern ergeben könnten.

connect professional: Das klingt so, als komme auf Unternehmen sehr umfassende Arbeit in Hinblick auf Verträge mit Lieferanten zu. Allein schon, wenn man mit Systemintegratoren für Sicherheitslösungen zusammenarbeitet…

Schmidt: Wie man so schön sagt: Man kommt vom Hölzchen aufs Stöckchen. Also ich muss mir nicht nur meinen Lieferanten, sondern die gesamte Lieferkette angucken. Und ich muss prüfen, ob ich Anforderungen weitergeben muss. Und dann – um bei Ihrem Beispiel zu bleiben – muss ich auch sicherstellen, dass wenn ich einen Systemintegrator oder Dienstleister für mein Unternehmen habe, dieser wiederum vielleicht auch Informationen von seinem Produktlieferanten bekommt, die ich aber in der Regel nicht habe und an die ich selbst mangels direkter Vertragsbeziehungen meistens auch nicht herankomme. Aber ich habe nun mal den Vertrag mit meinem Systemintegrator und darin muss ich sicherstellen, dass ich die Anforderungen der Richtlinie erfüllen kann und mein Dienstleister mitwirkt, so wie ich es brauche.

connect professional: Schätzungen sprechen von 30.000 bis 40.000 betroffenen Unternehmen von NIS-2. Betrachtet man den Lieferketten-Aspekt, könnte die Dunkelziffer weitaus größer sein, oder nicht?

Schmidt: Da muss man auch ein bisschen vorsichtig sein in der Formulierung. Ich würde nicht sagen, es sind deutlich mehr als 30.000 Unternehmen von NIS-2 betroffen, weil das nicht stimmt. Sie sind vielmehr indirekt betroffen, wenn sie an Unternehmen, die von der Richtlinie erfasst sind, liefern wollen. Diese Problematik haben wir ja in anderen Rechtsbereichen auch schon lange: dass ich natürlich einfach sicherstelle als Unternehmen, dass mein Lieferant mir eine rechtskonforme Leistung erbringt.

Nehmen wir das Beispiel Onlineshops: Der Anbieter eines Onlineshops-Systems kann sagen: „Ist mir alles egal. Widerrufsrechte sind bei mir nicht vorgesehen.“ Dann kauft aber niemand mehr das Produkt. Also er ist selbst nicht von dem Verbraucherschutzrechten betroffen, weil er ja selbst keinen Shop anbietet. Aber er verkauft sein Onlineshop-System natürlich nicht mehr, wenn er damit die gesetzlichen Anforderungen, die seine Kunden als Anbieter eines Onlineshops treffen, nicht umsetzen kann. Und so ähnlich ist es jetzt auch mit NIS-2. Ich muss als Lieferant schauen, wenn ich ein bestimmtes Kundenspektrum anspreche, was davon auf mich durchschlagen kann und was ich vielleicht in meinem System und in meinen Abläufen entsprechend anpassen muss.

connect professional: Können Sie Beispiele nennen, welche Sektoren oder Branchen neu mit NIS-2 betroffen sind?

Schmidt: Abfallwirtschaft zählt beispielsweise jetzt zu den „wichtigen Einrichtungen“. Der Bereich IKT ist erweitert; da kommen deutlich mehr Dienstleister dazu. Es ist aber auch so etwas wie Weltraum neu. Hier geht es um Bodenstationen, was wahrscheinlich eine Handvoll Unternehmen betrifft. Aber es kommen auch ein paar Bereiche dazu. Und es gibt ein paar Umklassifizierungen, also es ändert sich innerhalb der Sektoren ein bisschen etwas.

Das ist auch eine der größten Aufgaben: Dass man die Unternehmen jetzt erreicht, die bisher gar nicht wissen, dass sie betroffen sind, weil sie kein klassisches KRITIS-Unternehmen sind. Und genau die müssen jetzt prüfen: Bin ich oder ist mein Tätigkeitssektor betroffen? Erreiche ich die Capsize-Rule-Grenzen – es geht hier also nach bestimmten Größen, Mitarbeiterzahlen, Umsatzgrößen – und wenn ja, dann bin ich unter Umständen dabei.

connect professional: Es gibt ja auch die Unterscheidung in wichtige und wesentliche Einrichtungen bei der Richtlinie. Wie wird hier unterschieden?

Schmidt: Die Pflichten sind zumindest nach der Richtlinie im Großen und Ganzen noch die Gleichen. Wir erwarten, dass sich vielleicht bei den Rechtsakten noch ein bisschen etwas ändert. Aber im Wesentlichen ist diese Unterscheidung relevant für das Kontroll- und Sanktionsregime. Also man kann grob sagen, dass bei der einen Kategorie nur anlassbezogen kontrolliert werden kann. Bei der anderen Kategorie, bei den wesentlichen, kann die Aufsicht auch proaktiv kontrollieren. Da wird es auch Fristen geben, zum Beispiel, dass man bestimmte Dokumentationspflichten erst innerhalb der nächsten drei Jahre erbringen muss. Weil man da auch sagt, das ist vielleicht jetzt ein bisschen knapp bis Oktober. Und auch bei den Bußgeldern gibt es entsprechend dann Unterschiede beziehungsweise bei den Sanktionen, die die Behörden erlassen können.

connect professional: „Anlassbezogen“ hieße dann im Falle eines Cyberangriffs?

Schmidt: Im Wesentlichen wird es zwei Tatbestände geben. Das eine ist: Das Unternehmen meldet selbst einen Sicherheitsvorfall, weil es eben einer Meldepflicht unterliegt. Und der zweite Fall ist: Es wird ein Sicherheitsvorfall bekannt, bevor das Unternehmen meldet. Und auch dann kann die Behörde natürlich anlassbezogen kontrollieren, weil sich das ja auch auf den Sanktionsteil auswirkt oder vielleicht auch auf Ansprüche Dritter. Ob das Unternehmen also die entsprechend vorgeschriebenen Maßnahmen zur Cybersicherheit getroffen hat oder nicht – das wird dann kontrolliert, wenn ein Vorfall vorhanden ist.

connect professional: In der Praxis stelle ich es mir auch nicht ganz leicht für ein BSI vor, die vielen neuen Unternehmen zu bedienen…

Schmidt: Da muss man ehrlicherweise sagen: Die direkt betroffenen Unternehmen werden ja nicht so viel mehr sein. Also wir haben ja gerade diese Abgrenzung „proaktives Audit“ eigentlich nur bei den besonders wichtigen Eichrichtungen. Aber ja, das ist eine spannende Frage, ob das BSI da noch mal entsprechend ertüchtigt wird, um all diese Aufgaben erledigen zu können. Alleine mit Hinblick auf die Meldepflicht oder das Abarbeiten der Meldungen, die ja definitiv mehr werden. Also es wird ein Unterschied machen, ob 6.000 Unternehmen melden müssen oder eben 30.000. Da darf man gespannt sein, wie das BSI mit dieser Herkulesaufgabe umgeht.

connect professional: Zumal es an Fachkräften mangelt in dem Bereich.

Schmidt: Im Prinzip beißt sich die Katze hier in den Schwanz, weil quasi beide Seiten – BSI und Unternehmen – ja gleichermaßen um die Fachkräfte buhlen. Und da ist der Staat unter Umständen mit seinen Behördenstrukturen im Hintertreffen. Es wird spannend zu sehen, wie man das auflöst und ob es dem BSI da gelingt, personell so aufzurüsten, um all diese Anforderungen auch erfüllen zu können.