Wie NIS2UmsuCG und KRITIS-DachG Deutschlands Cybersicherheit verändern werden
Von Dennis-Kenji Kipker, Tilmann Dittrich
Mit neuen Gesetzen wird das bisherige Recht der IT-Sicherheit nicht nur an neue Bedrohungen angepasst, sondern erheblich erweitert. Manager müssen zur Schule.
Obwohl das Recht der Cybersicherheit eines der jüngsten Rechtsgebiete überhaupt ist, steht es schon jetzt vor einer großen Zeitenwende – dabei kommt zwar nicht alles neu, aber vieles wird sich ändern. Das geht insbesondere einher mit einer in den letzten drei Jahren erheblich geänderten und vor allem gestiegenen hybriden Bedrohungslage – nicht nur im virtuellen Raum, sondern auch für physische Infrastrukturen in Deutschland und Europa.
Mit anderen Worten: Die Kritischen Infrastrukturen stehen vor einer Zeitenwende – sowohl faktisch als auch juristisch. Der letztgenannte Aspekt betrifft aktuell in Deutschland die Umsetzung zweier europäischer Richtlinien: Für den Cyberschutz einerseits die NIS2-Richtlinie, die sich der Netz- und Informationssicherheit "wesentlicher" und "wichtiger" Einrichtungen verschrieben hat, für den physischen Schutz andererseits die Resilienz-Richtlinie (auch als CER- beziehungsweise RCE-Richtlinie bezeichnet). Letztere will Kritische Einrichtungen im Sinne eines allumfassenden Gefahrenansatzes vor nicht-cyberbezogenen Gefahren wie Klimakatastrophen, Bränden und Sabotage schützen. Obwohl beide EU-Richtlinien Hand in Hand gehen und deshalb auch zusammen im EU-Amtsblatt verkündet wurden, gibt es eine Besonderheit: Cyberschutz existiert gesetzlich schon seit ein paar Jahren, mit einem einheitlichen KRITIS-Dachgesetz (KRITIS-DachG) betritt die Bundesregierung allerdings Neuland.
Nationale Umsetzungen auf unterschiedlichem Weg
Die europäische NIS2-Richtlinie wird auf nationaler Ebene mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt – jüngst wurde für dieses Gesetz der Referentenentwurf des Bundesinnenministeriums (BMI) publik. Das NIS2UmsuCG ist ein sogenanntes Artikelgesetz, was nichts anderes heißt, als dass hierdurch verschiedene, schon bestehende Einzelvorschriften überarbeitet werden. Insbesondere gehört dazu das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Die CER-Richtlinie hingegen wird mit besagtem KRITIS-DachG national realisiert. Anders als ursprünglich durch das BMI verlautbart, ist das KRITIS-DachG ein eigenständiges Gesetz. Alternativ wäre möglich gewesen, das Gesetz über die Errichtung des Bundesamtes für Bevölkerungsschutz und Katstrophenhilfe (BBKG) anzupassen – dies hätte quasi einen Gleichlauf mit den Digitalregelungen im BSIG bedeutet. Für den deutschen Gesetzgeber bleibt noch bis Oktober 2024 Zeit, die Richtlinien umzusetzen. Und dabei gilt: Je schneller und früher, umso besser, damit betroffene Einrichtungen und Unternehmen die Umsetzungsaufwände besser abschätzen und planen können. Insoweit ist e zu begrüßen, dass die Bundesregierung sich dieses wichtigen Themas schon jetzt annimmt und entsprechend priorisiert.
Zigtausende Unternehmen betroffen
Wie bei neuen Rechtsvorschriften üblich, werden die Regelungen allermeistens nicht nur inhaltlich komplexer, sondern dehnen auch ihren Anwendungsbereich aus. Dies kann man ohne Weiteres auch für die neuen Regelungen zum nationalen Infrastrukturschutz annehmen: So wird nach vorsichtigen Schätzungen allein der Anwendungsbereich des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) künftig rund 29.000 zusätzliche Unternehmen erfassen, die sich mit neuen Pflichten zu Cyber Compliance konfrontiert sehen dürften. Unterschieden wird dabei zwischen den – zugegebenermaßen für den Laien zunächst wenig aussagekräftigen – Begriffen der "besonders wichtigen Einrichtungen" (etwa 8.100 zusätzlich betroffene Einrichtungen, hiervon rund 4.700 bisherige Kritische Infrastrukturen und Anbieter digitaler Dienste nach dem BSIG, etwa 3.400 neue Einrichtungen) und der "wichtigen Einrichtungen" mit ungefähr 20.900 zusätzlich betroffene Organisationen.
Bei den besonders wichtigen Einrichtungen, quasi als Qualifikationsstufe zu den wichtigen Einrichtungen, wird es gemessen an der Kritikalität noch eine weitere Abstufung geben: nämlich die sogenannten "kritischen Anlagen", die vermutlich die bisherigen "Kritischen Infrastrukturen" im BSIG ersetzen werden – erst einmal also ein ziemliches Begriffschaos, in das wir uns spätestens ab 2024 werden hineinfuchsen müssen. Konkret sind die besonders wichtigen Einrichtungen Großunternehmen und die wichtigen Einrichtungen mittlere Unternehmen vor allem aus den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation (IKT), Verwaltung von IKT-Diensten (Business-to-Business) sowie Weltraum.
Außerdem können – losgelöst von den vorgenannten Größenkategorien – deutschlandweit Unternehmen in den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum sowie Siedlungsabfallentsorgung als kritische Anlagen bestimmt werden. Insoweit kann man für den Anwendungsbereich des NIS2UmsuCG von einer europäischen Überformung mit nationalstaatlichem Beurteilungsspielraum sprechen. In Deutschland werden, wie bislang auch in der BSI-KritisV, Schwellenwerte die ausschlaggebenden Kriterien für die Einstufung sein.
Auch das KRITIS-DachG erfasst die wichtigen und besonders wichtigen Einrichtungen, wenngleich mit einer anderen Schutzrichtung als das NIS2UmsuCG. Das juristische Begriffschaos wird hier komplettiert, indem die "Kritischen Infrastrukturen" neben dem Begriff der "kritischen Anlage" beibehalten werden. Dieser deutsch-europäische Weg dürfte sicherlich nicht zu besserem Verständnis und leichterer Umsetzbarkeit der neuen Regelungen beitragen. Vermutlich will der deutsche Gesetzgeber über die europäischen Vorgaben hinaussteuern und vor allem auch kleinere kritische Infrastrukturbetreiber erfassen, die ansonsten aus dem Raster fielen. Wahrscheinliche Zwecksetzung der Maßnahme: die Erweiterung der analogen Lieferkette in den kritischen Sektoren, um zukünftig für alle Unwägbarkeiten und Unmöglichkeiten gerüstet zu sein.
Das müssen betroffene Betreiber künftig leisten
Genauso umfassend und vielschichtig wie der Anwendungsbereich der neuen Regelungen werden auch die inhaltlichen Anforderungen an die Betreiber sein. Diese lassen sich grob unterteilen in Vorgaben zum Risikomanagement, Registrierungspflichten, Meldepflichten sowie Anforderungen für Nachweise getroffener Maßnahmen. Im Rahmen des Risikomanagements tritt eine zentrale Besonderheit des Technikrechts deutlich zutage: Weder kann noch will der Gesetzgeber jedes Detail umzusetzender technisch-organisatorischer Maßnahmen regeln. Einerseits mag man ihn deshalb aufgrund der damit verbundenen Rechtsunsicherheit kritisieren wollen, andererseits ist ein solches Vorgehen juristisch spätestens seit dem Kalkar-Beschluss des Bundesverfassungsgerichts aus den späten 1970er-Jahren ohne Weiteres zulässig. Und das ergibt auch Sinn, denn wollte mit einer abschließenden Kasuistik sämtliche notwendigen Einzelmaßnahmen zur Sicherheit im Gesetz auflisten, so könnten diese von einem zum nächsten Tag überholt sein.
Diese Debatte ist nicht neu und wurde schon lang und breit mit dem ersten deutschen IT-Sicherheitsgesetz im Jahr 2015 geführt. Somit führen sowohl NIS2UmsuCG als auch KRITIS-DachG nicht nur den vielzitierten "Stand der Technik" als auschlaggebendes Regelungskriterium an, sondern auch die Geeignetheit und Verhältnismäßigkeit als Ausfluss einer Angemessenheitsbeurteilung der zu treffenden Maßnahmen.
Im KRITIS-DachG werden Notwendigkeit und Verhältnismäßigkeit von Resilienzmaßnahmen anhand von Risikoanalysen ermittelt. Die Analysen führen die Mitgliedstaaten und vierjährlich auch die Unternehmen selbst durch. Deutlich in dieser Unbestimmtheit jedenfalls ist, dass zumindest das NIS2UmsuCG im Ergebnis die konkreteren Maßnahmen als das KRITIS-DachG vorsieht. Das liegt daran, dass hier schon jahrelang Erfahrung in der IT-Sicherheit Kritischer Infrastrukturen gesammelt werden konnten. Die vorgenannten unbestimmten Rechtsbegriffe können durch Branchenspezifischen Sicherheitsstandards (B3S) ausgefüllt werden. Das kann die Rechtssicherheit verbessern.
Auch analoge Infrastrukturen schützen
Mit dem KRITIS-DachG ist geplant, dieses Vorgehen nun auch auf analogen Infrastrukturschutz auszudehnen, indem die Möglichkeit vorgesehen wird, sogenannte "Branchenspezifische Resilienzstandards" (B2S oder BRS) zu erarbeiten, die von den jeweiligen Branchenverbänden vorgeschlagen werden können. Für die Praxis wäre wünschenswert, würde der Gesetzgeber die nun günstige Gelegenheit nutzen, um die branchenspezifischen Standards mit einem "Haltbarkeitsdatum" zu versehen – zwei Jahre erscheinen hier als praktikabler Rahmen. Die Umsetzung der gesetzlich geforderten Maßnahmen ist sowohl nach NIS2UmsuCG als auch nach KRITIS-DachG zweijährlich gegenüber BSI und BBK nachzuweisen.
Auch im Hinblick auf die Registrierung zeigen sich zwischen NIS2UmsuCG und KRITIS-DachG deutliche Parallelen. So müssen sich im Anwendungsbereich beider Vorschriften betroffene Unternehmen nicht nur registrieren, sondern ebenfalls eine Kontaktstelle benennen. Damit einher gehen entsprechende Meldepflichten bei Sicherheitsvorfällen nach einem gesetzlich nunmehr ausdrücklich vorgeschriebenen Stufenkonzept. Demnach sind Vorfälle jeweils meldepflichtig, wenn sie sich auf die Erbringung der kritischen Dienstleistung erheblich auswirken könnten. Jeweils binnen der ersten 24 Stunden nach Vorfallsfeststellung muss eine frühe Erstmeldung erfolgen. Binnen 72 Stunden ist die eigentliche Meldung abzugeben. Es folgen dann, je nach Einzelfall, Zwischen- und Fortschrittsmeldungen sowie stets eine Abschlussmeldung einen Monat nach initialer Feststellung des Vorfalls. Die nach NIS2UmsuCG vorgesehene behördliche Rückmeldung und die Schaffung einer gemeinsamen Meldestelle von BSI und BBK sind begrüßenswert und dürften sicherlich zu leichterer Vorfallsbearbeitung beitragen.
Neuer Bußgeldrahmen schafft neue Argumente für IT-Sicherheitsbeauftragte
IT-Sicherheitsbeauftragte stehen immer wieder vor der schwierigen Aufgabe, bei Geschäftsführung oder Vorstand nicht nur Gehör, sondern auch passende Budgets für Sicherheit und Resilienz zu finden. Zumindest für das NIS2UmsuCG ist schon jetzt klar, dass diese Aufgabe in Zukunft leichter fallen wird, denn die EU schreibt vor, dass Sanktionen für Verstöße hinreichend wirksam und abschreckend sein müssen. Darunter stellt sich der deutsche Gesetzgeber in Anknüpfung an die DSGVO-Konzernregelungen je nach Schwere des Verstoßes bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Vorjahresumsatzes eines Unternehmens. Selbige Intention gilt letztlich auch für die CER-Richtlinie respektive das KRITIS-DachG, wobei in der aktuell im Juli 2023 veröffentlichten Fassung des Referentenentwurfs noch keine genauen Zahlen genannt werden. Aufgrund des bisherigen Gleichlaufs zwischen dem NIS2UmsuCG und dem KRITIS-DachG sind ähnliche Sanktionsdrohungen wahrscheinlich.
Cybersecurity-Planwirtschaft durch mehr gesetzlich bestimmte Management-Verantwortlichkeit?
Die Management-Verantwortlichkeit für mehr Sicherheit und Resilienz soll laut Gesetzesentwurf nicht mit der bloßen erweiterten Bebußbarkeit von Rechtsverstößen enden. Denn was sicherlich nicht im Sinne vieler Geschäftsführer und Vorstände sein dürfte, sind die direkten sie betreffenden Compliance-Pflichten. Gerade das NIS2UmsuCG geht hier erheblich über das geltende Recht hinaus. So muss die Geschäftsleitung die getroffenen Risikomanagement-Maßnahmen zur IT-Sicherheit billigen und überwachen. Die Delegation dieser Pflichten ist beschränkt, und stets verbleibt die Letztverantwortung der Unternehmensleitung.
Überdies verweist das NIS2UmsuCG in unmittelbarer Umsetzung der NIS2-Richtlinie auf die persönliche Haftung der Geschäftsleitung für Schäden, die durch mangelhafte Risikomanagementvorgaben im Bereich der IT-Sicherheit entstanden sind. Außerdem ist vorgesehen, dass sich die Geschäftsleitung ausreichende Fachkenntnisse zur Bewertung der Risikomanagement-Maßnahmen aneignen muss. Es kommt somit eine ausdrückliche "Schulbank-Pflicht", die von manch einem politischen Kommentator im noch laufenden Gesetzgebungsverfahren auch als "planwirtschaftliche Regulierung" der IT-Sicherheits moniert wird.
So geht es weiter
Nachdem das NIS2UmsuCG viele Vorstände und Geschäftsführer aufgeweckt hat, kommt mit dem KRITIS-DachG der nächste Knall. Grundsätzlich tut mehr Regulierung gut, denn wer wirtschaftlich vom IT-Einsatz in seinem Unternehmen profitiert, muss auch bereit sein, mit den damit einhergehenden Risiken umzugehen – und das betrifft schon lange nicht mehr nur Kritische Infrastrukturen. Gerade bei vielen mittelständischen Unternehmen ist die Botschaft zu besserer IT-Sicherheit und Resilienz trotz der massiv gestiegenen Bedrohungslage immer noch nicht im Management angelangt; das dürfte sich ändern. Dem deutschen Gesetzgeber kann man dabei nicht allzu viele Vorwürfe machen, denn die allermeisten der umzusetzenden Regelungen sind durch das europäische Recht bereits vorgegeben. Deshalb ist jetzt der falsche Zeitpunkt für umfassende wirtschaftsgetriebene Lobbyarbeit gegen Cybersicherheit und Resilienz, denn die kommt zu spät.
Dennis-Kenji Kipker arbeitet als Professor für IT-Sicherheitsrecht an der Hochschule Bremen. Außerdem ist er als Legal Advisor des VDE, CERT@VDE im Policy-Bereich als Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin tätig. Gleichzeitig berät er die Bundesregierung und die Europäische Kommission zu Cybersicherheitsfragen. Seit 2023 ist er zudem Mitglied im Advisory Board des litauischen Cybersecurity-Unternehmens NordVPN.
Tilmann Dittrich hat ein Studium der Rechtswissenschaften in Tübingen und Freiburg und einen LL.M.-Studiengang im Medizinrecht an der Heinrich-Heine-Universität Düsseldorf absolviert. Gleichzeitig ist er Doktorand an einem Lehrstuhl für Strafrecht an der Heinrich-Heine-Universität und Rechtsreferendar im OLG-Bezirk Düsseldorf.
