Startseite > Security > „Das Risiko verringern – darum geht es im Grunde mit NIS-2“

NIS-2-Richtlinie

„Das Risiko verringern – darum geht es im Grunde mit NIS-2“

13. März 2024, 9:00 Uhr | Interview: Diana Künstler

Fortsetzung des Artikels von Teil 2

NIS2UmsuCG und wo Unternehmen ihre Hausaufgaben machen müssen

connect professional: An dieser Stelle noch einmal eine Frage zu Ihrem persönlichen Erfahrungsschatz mit Klienten: Sie haben ja viel Vertragseinsicht in letzter Zeit gewonnen. Wo drückt denn bei den Mandanten am meisten der Schuh in Sachen NIS-2?

Schmidt: Es ist natürlich unterschiedlich. Je nachdem auch, ob das Mandanten sind, die jetzt neu betroffen sind oder Mandanten, die bisher schon KRITIS-Betreiber waren und jetzt nur die Lücken schließen müssen. Da gibt es jede Menge Beratungsumfang: Zum einen gucken wir uns im Moment die Verträge mit den Lieferanten an und schauen, was wir da vielleicht anpassen müssen, um die Lieferanten entsprechend zu binden und alles zu erhalten, was wir vom Lieferanten brauchen. Und wir gucken uns bei Mandanten, die völlig neu betroffen sind, auch etwaige Regelwerke an, die nicht technischer Natur sind. Also wir machen jetzt kein Informationsmanagementsystem, Business Continuity oder dergleichen. Dafür gibt es Spezialanbieter; dafür ist der Jurist nicht zuständig. Aber die Einführung muss natürlich juristisch begleitet werden. Also egal ob es jetzt der Vertrag mit dem Anbieter ist oder ob es vielleicht etwaige Richtlinien im Unternehmen sind oder ob man vielleicht irgendwas mit dem Betriebsrat abstimmen muss – das ist es, was uns in der Beratung jetzt im Moment beschäftigt.

Und natürlich schauen wir uns an, wo die Richtlinie jetzt schon eine Rolle spielt, obwohl das Umsetzungsgesetz noch nicht da ist. Wir haben jetzt Februar und es liegt noch kein neuer Referentenentwurf vor. Aber die Umsetzungsfrist endet ja nun mal im Oktober. Und jetzt kann man natürlich sagen „Na ja, wenn Deutschland nicht rechtzeitig umsetzt, dann kann ich als Unternehmen nichts dafür“. Allerdings wäre das ein sehr risikoaffiner Ansatz. Weil es wird vielleicht auch Übergangsfristen für bestimmte Dokumentationspflichten von den besonders wichtigen Anlagenbetreibern geben. Aber es kann ja keiner sagen, was passiert eigentlich, wenn ich am 20. Oktober einen Vorfall habe? Ob dann nicht doch jemand vom BSI sagt „Gucken wir doch mal, ob du die Richtlinie umgesetzt hattest.“ Das Risiko ist gegeben.

connect professional: Gibt es denn vielleicht aus den Erfahrungen mit den Verträgen, die Sie bisher eingesehen haben, einen Wunsch Ihrerseits an potenzielle Mandanten, welche Hausaufgaben man schon vorher gemacht haben sollte?

Schmidt: Die meisten sind eigentlich ganz gut aufgestellt. Denn, wie gesagt, das betrifft ja jetzt auch keine ganz kleinen Unternehmen. Durch die Größenbegrenzung kommt nicht der vielzitierte kleine Handwerker oder der Bäckerbetrieb, wie es bei der Datenschutzgrundverordnung oft der Fall war. Da kamen ja wirklich auch ganz kleine Unternehmen und haben gesagt „Ich bin völlig überfordert, was wollen die eigentlich von mir?“. Das haben wir mit NIS-2 nicht. Das heißt, die meisten Unternehmen sind schon relativ gut vorbereitet und strukturiert.

Wichtig ist, dass man seine Lieferanten kennt und weiß, welcher sicherheitsrelevant ist. Wo kann sich ein Sicherheitsvorfall von einem Lieferanten auf mich auswirken? Und das ist die Hausaufgabe, die ein Unternehmen vielleicht machen muss, wenn es die bisher nicht gemacht hat. Also: Verträge zu strukturieren, zu analysieren, zu gucken, welche davon sind für NIS-2 relevant? Wo muss ich die Anforderungen der Lieferkette sicherstellen und wo nicht? Und um das Vertragliche können wir oder die Kollegen sich dann kümmern.

connect professional: Derzeit erarbeitet man in Deutschland ja das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Greift denn das Umsetzungsgesetz – Stand jetzt – weiter oder enger als die Richtlinie? Oder anders gefragt: Gibt es wesentliche Punkte, wo sich das Umsetzungsgesetz von der Richtlinie unterscheidet?

Schmidt: Es gibt ein paar Punkte, wo es abweicht. Das eine sind schon Begrifflichkeiten. Also während die Richtlinie von Sektoren mit hoher Kritikalität spricht und sonstige kritische Sektoren, gibt es im Entwurf des Umsetzungsgesetzes zusätzlich noch die Sektoren für kritische Anlagen, also die bisherigen klassischen KRITIS-Betreiber. Die Richtlinie unterscheidet zudem zwischen wesentlichen und wichtigen Einrichtungen. Im deutschen Umsetzungsgesetz sind es besonders wichtige und wichtige. Also da gibt es einfach Abweichungen in der Benennung, die sich ein bisschen mehr auch am bisherigen deutschen Recht orientieren, also BSI- und KRITIS-Gesetz. Und es gibt Abweichungen wie die Verpflichtung, das Unternehmen auf die Ansprüche gegen die Geschäftsleitung nicht verzichten dürfen. Das gibt es in der Richtlinie in dieser Form nicht; das ist deutsch.

Es gibt demnach schon ein paar Abweichungen und es gibt aber hoffentlich auch ein paar Konkretisierungen. Die Richtlinie muss ja umgesetzt werden, es muss eine gewisse Mindestharmonisierung geschaffen werden. Von daher wäre es schon wünschenswert, wenn da bestimmte Sachen, wie unklare oder schwammige Formulierungen in der Richtlinie, mit dem Umsetzungsgesetz konkretisiert werden könnten. Stichwort: In der Richtlinie steht „Maßnahmen zur Cyberhygiene sind zu treffen“. Da fragt man sich schon: Was ist das denn eigentlich? Und das ist ein stückweit der Auftrag an das BMI, dass man hier mit Definitionen den Unternehmen auch hilft. Was meint man eigentlich mit solchen Begriffen? Was muss man denn da machen?

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Von Begrifflichkeiten und anderen Unterschieden – der Fachanwalt für IT-Recht wirft einen Blick darauf, wo sich die Richtlinie der EU und der derzeitige Stand zum NIS-2-Umsetzungsgesetz unterscheiden. Und wo es noch Konkretisierungsbedarf gibt.

connect professional: Ähnlich wie mit der Formulierung „Stand der Technik“…

Schmidt: Es gibt keine gesetzliche Definition. Das ist das Problem. Es gibt glücklicherweise die sehr gute Handreichung vom TeleTrusT⁵ (Anm.d.Red.: Bundesverband IT-Sicherheit e. V.), die sich nach und nach durchsetzt – auch weil sie den Unternehmen hilft. Aber ansonsten ist das natürlich immer so ein Streitpunkt. Was ist Stand der Technik? Auf was muss ich da abstellen? Manche Verträge unterscheiden auch noch zwischen aktuellsten oder aktuellen Stand der Technik. Das ist dann unter Umständen schwierig, wenn nicht definiert ist, was damit eigentlich gemeint ist. Aber ich fürchte, auch für den Stand der Technik wird sich im Umsetzungsgesetz leider keine Definition finden.

Und ähnlich wie die DSGVO soll die NIS-2 ja auch technikneutral sein. Deswegen gibt es hier ja auch einen Maßnahmenkatalog, erwähnt wird zum Beispiel Datensicherung, aber es werden gerade nicht bestimmte Techniken und Produkte genannt. Das ist auf der einen Seite von Vorteil, weil es damit technikoffen ist. Aber es ist auch nachteilig, weil die Unternehmen relativ schlecht wissen, was sie denn jetzt konkret eigentlich machen müssen.

connect professional: Vielen Dank für das aufschlussreiche Gespräch.

Hinweis der Redaktion: Das Interview wurde am 20. Februar 2024 geführt. Weitere Ausschnitte vom Interview mit Stephan Schmidt – zum Beispiel zu den Audits oder den Meldepflichten – können Sie hier einsehen.

^{1 https://eur-lex.europa.eu/eli/dir/2022/2555

2 https://www.bmas.de/DE/Service/Gesetze-und-Gesetzesvorhaben/Gesetz-Unternehmerische-Sorgfaltspflichten-Lieferketten/gesetz-unternehmerische-sorgfaltspflichten-lieferketten.html

3 https://it-sicherheit-und-recht.de/wp-content/uploads/2024/03/CI1_17002_41_22-86-32-NIS2UmsuCG-2.-RefE-22-12-2023-09-58h.pdf (Referentenentwurf vom 22.12.2023)

4 https://dsgvo-gesetz.de/

5 https://www.teletrust.de/fileadmin/user_upload/2023-05_TeleTrusT-Handreichung_Stand_der_Technik_in_der_IT-Sicherheit_DE.pdf}