NIS-2-Richtlinie
„Das Risiko verringern – darum geht es im Grunde mit NIS-2“
Fortsetzung des Artikels von Teil 1
Melde-, Nachweispflichten und Bußgelder
connect professional: Wie steht es um die Meldepflichten im Kontext NIS-2?
Schmidt: Die Rahmenbedingungen sind ähnlich, wie sie für KRITIS-Unternehmen bereits existieren. Nämlich, dass ich innerhalb von 24 Stunden melden muss. Das könnte allerdings Unternehmen, die bisher nicht betroffen waren, unvorbereitet treffen. Weil sie die Meldepflicht zum Beispiel aus der Datenschutzgrundverordnung4 kennen, welche bei 72 Stunden liegt. Da diskutiert man im Moment sogar, ob man das nicht sogar auf 72 Stunden innerhalb von Werktagen ausdehnt. Aber bei 72 Stunden komme ich in der Regel über Feiertage, übers Wochenende – auch wenn ich am Wochenende nichts mache. Aber bei 24 Stunden geht das nicht mehr. Das heißt, wenn ich Freitagnachmittag oder -abend oder am Wochenende oder am Feiertag feststelle, ich habe einen meldepflichtigen Vorfall, dann muss die Meldung innerhalb von 24 Stunden erfolgen. Und da werden sich Unternehmen natürlich umstellen müssen. Insbesondere solche, die bisher zu solchen Zeiten gar keinen Dienst vorgesehen haben; wo bisher kein Arbeitnehmer am Wochenende arbeitet und ich auch vielleicht in den Arbeitsverträgen Regelarbeitszeiten drinstehen habe, dass alle Arbeitnehmer einfach freitags um 15 Uhr nach Hause gehen dürfen. Das muss man sich als Unternehmen anschauen: Wie regle ich das? Wie regle ich entsprechende Pläne, wie die Verfügbarkeiten? Damit ich dann meine Meldepflicht auch innerhalb der gesetzlich vorgesehenen Frist erfüllen kann.
connect professional: Wie hoch können Bußgelder mit der NIS-2 ausfallen?
Schmidt: Die Bußgelder sind etwas niedriger als bei der DSGVO angesetzt. Die maximale Höhe ist bei allgemeinen Tatbeständen 2 Millionen und bei wichtigen Einrichtungen 7 Millionen oder 1,4 Prozent des weltweiten Jahresumsatzes. Bei besonders wichtigen Einrichtungen sind es als Höchstgrenze 10 Millionen und bis zu 2 Prozent des weltweiten Jahresumsatzes.
Und dann ist es so, dass für die Geschäftsführung das insofern relevant wird, als dass es zumindest im deutschen Umsetzungsgesetz eine Regelung gibt, wonach die Unternehmen auf Ansprüche gegen die Geschäftsleitung nicht verzichten dürfen. Das heißt, wenn ein Unternehmen ein Bußgeld in dieser Höhe kriegt, muss es unter Umständen aufgrund der gesetzlichen Vorgabe versuchen, sich dieses Bußgeld von seiner Geschäftsleitung wiederzuholen. Grundlage wäre hier aber das Verschulden der Geschäftsleitung als Anlass für die Strafe: also mangelnde Kontrolle, mangelnde Umsetzung, mangelnde Schulung von Mitarbeitern etc. Also alles Pflichten, die ja die Richtlinie und die das Umsetzungsgesetz insbesondere für die Geschäftsleitung vorsieht.
Und deswegen kann man natürlich sagen, dass der Geschäftsleitung insofern ein Schaden droht. Das Bußgeld aber richtet sich nicht per se gegen die Geschäftsleitung. Hier kommt glaube ich auch ein bisschen die Dynamik im Moment her, weil die Geschäftsleitung nun merkt „Hoppla, hier geht es also wirklich an mein Privatvermögen“. Weil es auch im Moment im Entwurf diese gesetzliche Regelung gibt, dass das Unternehmen auf diese Ansprüche nicht verzichten darf.
connect professional: Salopp formuliert: Könnte ich jetzt als Geschäftsführer dieses Bußgeld, für das ich gegebenenfalls aufkommen müsste, an einen Dritten übertragen oder abtreten?
Schmidt: Das sind im Grunde zwei Paar Schuhe. Beispiel: Ich habe einen Sicherheitsvorfall. Und das BSI kommt zu dem Ergebnis „Das ist Bußgeld-relevant, was du hier gemacht hast, weil es ein Verschulden gibt“. Und dann muss ich mir natürlich angucken, wo kommt das her? Also wurden typische Leitungsfunktionen verletzt? Nehmen wir als ganz triviales Beispiel: Habe ich meine Mitarbeiter nicht geschult und das vielleicht sogar dokumentiert? Gibt es E-Mails, wo drin steht „Auf Schulung verzichten wir aus Kostengründen“? Dann wäre es wohl ein Klassiker. Oder ist das ein Verschulden, das in Wirklichkeit gar nicht bei mir liegt, sondern bei dem Dienstleister? Dann muss ich mir meine Verträge prüfen und klären, kann ich diesen Schaden beim Dienstleister geltend machen? Also das kann schon auch passieren. Dann ist es keine Haftung der Geschäftsleitung. Es sei denn – auch wieder als Beispiel – ich habe den Dienstleister nicht richtig ausgesucht. Ich habe zum Beispiel den billigsten genommen, obwohl andere mir vielleicht Zertifizierungen oder Prüfungen vorgelegt haben, der Billige aber nicht.
connect professional: Was glauben Sie, wie hoch die Bußgelder ausfallen werden? Drohen den Unternehmen hohe Strafen?
Schmidt: Das ist im Grunde jetzt Kaffeesatzleserei. Aber wenn man sich ein bisschen die Bußgeldpraxis nach der Einführung der DSGVO anguckt, dann haben wir in Deutschland bisher nicht diese riesigen Bußgelder gesehen. Also keine, die sich an den zwei oder vier Prozent des Vorjahresumsatzes orientieren. Warum nicht? Weil sich zum Glück in Deutschland die Aufsichtsbehörden – und das gilt sowohl für die Datenschutzaufsichtsbehörden als auch für das BSI – nicht aus Bußgeldern finanzieren. Das heißt, die Behörde hat davon nichts. Das ist in anderen Ländern anders. Da laufen die Bußgelder in den Etat der Behörde, und die finanziert sich quasi dadurch, dass sie ausreichend Bußgelder verhängt.
Ich kann mir ehrlich gesagt nicht vorstellen, dass gerade in den Anfangsmonaten oder gar -jahren, das BSI hier extrem hohe Bußgelder verhängt. Es sei denn, sie haben wirklich einen krassen Fall und man will einmal ein abschreckendes Beispiel schaffen. Aber seien wir realistisch: Es bringt ja ehrlich gesagt auch nichts, wenn das BSI quasi existenzvernichtende Bußgelder verhängt.
Andererseits: Ein Bußgeld hat nun mal einen Strafcharakter und wenn ich den einfach einpreisen kann, dann ist dieser Strafcharakter natürlich hinfällig. Das heißt, ein Bußgeld muss wehtun. Aber ich rechne damit, dass besonders am Anfang gerade mit Auflagen gearbeitet wird, mit Bescheiden, die eine bestimmte Maßnahme vorgeben – aber vielleicht noch nicht direkt mit hohen Bußgeldern. Das glaube ich ehrlich gesagt nicht. Aber wie gesagt, das ist meine persönliche Meinung und der Blick in die Glaskugel. Da müssen wir uns letztlich überraschen lassen.
connect professional: Wie steht es in der NIS-2-Richtlinie um eine Audit- also Nachweispflicht?
Schmidt: Also es gibt zum einen das Beispiel, dass das BSI bei den besonders wichtigen Einrichtungen ein Audit machen kann. Also es kann hingehen und sagen „Pass mal auf, du hast dich registriert und du bist besonders wichtig“ – wie zum Beispiel ein Kraftwerksbetreiber. Aber davon zu trennen sind ja die Audits, die zu Zertifizierungen führen, die ein Unternehmen für sich haben will. Also so ähnlich wie eine ISO-Zertifizierung. Und da sind natürlich auch die Unternehmen schon gut aufgestellt, die entsprechende ISO-Zertifizierungen haben. Aber soweit ich das überblicken kann, gibt es im Moment noch keine „NIS-2-Zertifizierung“. Wie auch? Es sind ja ganz viele Anforderungen noch unklar. Aber die werden kommen. Also natürlich werden die großen Prüfungsgesellschaften und die Spezialanbieter wahrscheinlich ein, ich nenne es jetzt mal „Upgrade zu ihrer 27001-Zertifizierung“ anbieten. Im Sinne einer NIS-2-Compliance. Das wird es schon deswegen geben, weil das auch ein typisches Tool ist, um als Geschäftsleitung nachweisen zu können, dass ich alles Nötige getan habe. Also dass ich mich zertifizieren lassen und einen abhängigen Prüfer prüfen lasse, ob ich meine Pflichten mit NIS-2 korrekt umgesetzt habe. In dem Fall wird es natürlich für eine Behörde auch schwerer, mir ein Verschulden in irgendeiner Form nachzuweisen. Aber Vorfälle kann es natürlich immer geben.
Das ist natürlich auch ein Punkt: Ich kann Sicherheitsmaßnahmen treffen, so viel ich will. Es gibt ja keine hundertprozentige Sicherheit. Das sehen wir an den zahlreichen Vorfällen, die es im Moment quasi jeden Tag gibt: seien es Datenlecks, Ransomware-Angriffe etc. Und da sieht man auch: Man kann Maßnahmen treffen, so viel man will – aber zumindest verringert man damit das Risiko. Und darum geht es im Grunde mit NIS-2.
connect professional: Die höchstmögliche Sicherheit gibt es dann im Prinzip nur offline…
Schmidt: Genau, das hat man ja auch in bestimmten Bereichen. Zum Beispiel im Medizinumfeld, also in Krankenhäusern, oder auch in Kraftwerken – wo es auch Bereiche ohne Netzwerkverbindung gibt. Aus gutem Grund, weil man gerade nicht will, dass irgendeine Gefahr von außen eintreten kann. Aber selbst dann habe ich immer noch das Problem, dass man vielleicht mit einem Update Sicherheitslecks produziert. Da sind wir wieder beim Beispiel Dienstleister, der irgendwas einspielt, was da nicht hingehört. Auch das haben wir bei Mandanten schon gehabt. Also über Updates auf Produktionsanlagen kam dann der Trojaner. Und das ist auch ein wichtiger Punkt: Es muss nicht immer der PC oder Client sein, wo der Mitarbeiter oder die Mitarbeiterin davor sitzen und etwas falsch machen. Es kann auch die Software sein, die auf einer Maschine installiert ist.
- „Das Risiko verringern – darum geht es im Grunde mit NIS-2“
- Melde-, Nachweispflichten und Bußgelder
- NIS2UmsuCG und wo Unternehmen ihre Hausaufgaben machen müssen
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
EU-Verordnung für Finanzsektor
Spotlight: DORA
SecDays
Securepoint geht mit über 1.000 IT-Partnern auf Tour
Virtuelle Themenreihe NIS-2 / Teil 2
Cybersicherheit nicht nur um der Compliance willen
Informations- und Netzsicherheit
NIS-2: Für Unternehmen wird die Zeit knapp
NIS-2 und andere EU-Vorgaben
„Ich empfehle jedem betroffenen Unternehmen, nicht zu warten“
NIS-2-Richtlinie
Daueraufgabe IT-Sicherheit
Fortsetzung der Webinar-Reihe
Ist Ihr Unternehmen bereit für NIS-2?
Webinar-Themenreihe NIS-2
NIS-2 als Chance begreifen
