Die bevorstehende Umsetzung der NIS-2-Richtlinie (NIS-2-UmsetzungsG) und des KRITIS-Dachgesetzes (KRITS-DachG) markiert eine bedeutende Änderung im deutschen IT-Sicherheitsrecht. Diese Gesetze bringen umfangreiche Anforderungen mit sich, die erhebliche Auswirkungen auf die Compliance von Unternehmen haben werden. Unternehmen, die als Betreiber kritischer Infrastrukturen oder als besonders wichtige Einrichtungen klassifiziert sind, müssen sich über die wesentlichen Herausforderungen informieren und auf die Neuerungen vorbereiten.
Hintergrund der Gesetzgebung
Die steigende Anzahl von Cybervorfällen in Deutschland hat den Gesetzgeber zum Handeln bewegt. Die aktuellen Gesetzgebungsprozesse für das NIS-2-UmsetzungsG sowie das KRITIS-DachG sollen einen umfassenden Schutz bieten und das Risiko von IT-Sicherheitsvorfällen, vor allem im Bereich kritischer Infrastrukturen, reduzieren. Kritische Infrastrukturen umfassen wesentliche Einrichtungen und Unternehmen, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf das Gemeinwesen hätte. Dazu zählen Sektoren wie Energie, Wasser, Ernährung, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Informationstechnik und Telekommunikation.
Rechtliche Grundlagen
Die künftigen Regelungen zielen darauf ab, die Sicherheit kritischer Infrastrukturen zu erhöhen und die Resilienz gegenüber Cyber-Angriffen zu stärken. Die NIS-2-Richtlinie und das KRITIS-DachG bilden den Kern dieser Bemühungen. Beide Gesetze gehen Hand in Hand und stellen neue Anforderungen an Unternehmen, die besonders wichtige Einrichtungen betreiben oder im öffentlichen Interesse stehen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Neben den erwähnten Grundlagen spielt das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) eine zentrale Rolle bei der Überwachung und Umsetzung der neuen Gesetze. Es regelt die Aufgaben und Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Als zentrale Aufsichtsbehörde setzt das BSI die Regelungen des NIS-2-UmsetzungsG sowie des KRITIS-DachG um und überwacht deren Einhaltung. Dies hat unmittelbare Auswirkungen auf die Compliance von Unternehmen.
Das neue BSIG erstreckt sich auf kritische Infrastrukturen, Unternehmen im besonderen öffentlichen Interesse und Anbieter digitaler Dienste. Die Kriterien zur Einordnung als besonders wichtige Einrichtung werden anhand europäischer Empfehlungen festgelegt. Diese Einrichtungen spielen eine entscheidende Rolle für die Funktionalität des Gemeinwesens und müssen erweiterte Sicherheitsmaßnahmen implementieren sowie strenge Nachweispflichten erfüllen.
Technisch-organisatorische Anforderungen
Die Neufassung des BSIG, das das NIS-2-UmsetzungsG und das KRITIS-DachG umsetzen wird, führt umfangreiche Maßnahmen zur Sicherung der Cybersicherheit ein:
Risikomanagement und Nachweispflichten
Unternehmen müssen ein umfassendes Risikomanagementsystem implementieren, das regelmäßig überprüft und aktualisiert wird. Dazu gehören Sicherheitsaudits, Prüfungen und Zertifizierungen. Besonders wichtige Einrichtungen müssen alle zwei Jahre nachweisen, dass sie die Anforderungen zum Risikomanagement erfüllen.
Registrierungs- und Benennungspflichten
Alle betroffenen Unternehmen müssen sich beim BSI registrieren. Diese Registrierungspflicht dient der besseren Überwachung und Koordination der Sicherheitsmaßnahmen. Verstöße gegen diese Pflicht können zu erheblichen Bußgeldern führen.
Melde- und Unterrichtungspflichten
nternehmen sind verpflichtet, Sicherheitsvorfälle zeitnah zu melden. Diese Meldepflichten betreffen alle wichtigen und besonders wichtigen Einrichtungen. Das BSI kann zusätzlich anordnen, dass betroffene Unternehmen ihre Kunden informieren.
Bußgelder bei Rechtsverstößen
Der Bußgeldkatalog des künftigen BSIG sieht erhebliche Sanktionen für Verstöße vor. Unternehmen sollten sich daher frühzeitig mit den neuen Regelungen vertraut machen und entsprechende Maßnahmen zur Einhaltung der Vorschriften ergreifen.
Neue Herausforderungen für die Unternehmensführung
Die NIS-2-Richtlinie und das KRITIS-DachG legen umfassende Anforderungen an Unternehmen fest. Diese umfassen Risikomanagement, technische und organisatorische Maßnahmen, Sicherheitsvorfälle, Sicherheitspolitik und Verantwortlichkeiten. Unternehmen müssen sicherstellen, dass ihre Leitungsorgane über die notwendigen Kenntnisse und Ressourcen verfügen, um diese Anforderungen zu erfüllen.
Fazit
Die bevorstehenden Neuregelungen durch das NIS-2-UmsetzungsG und das KRITIS-DachG stellen Unternehmen vor große Herausforderungen im Bereich der Compliance. Durch frühzeitige Vorbereitung, Implementierung von Sicherheitsmaßnahmen und regelmäßige Schulungen der Mitarbeiter können Unternehmen die neuen Anforderungen erfüllen und ihre IT-Sicherheit erheblich verbessern.
Weiterführende Links
Referentenentwurf KRITIS-DachG, NIS-2-UmsetzungsG
Angebot: Kostenfreies Gespräch mit unseren Experten
Sie haben Fragen welche Herausforderungen sich für Ihr Unternehmen im Bereich Compliance durch das NIS-2-UmsetzungsG und das KRITIS-DachG ergeben und ob Sie bzw. Ihr Unternehmen betroffen ist? Sprechen Sie uns gerne an und vereinbaren Sie einen kostenlosen Termin mit unseren Experten.
Kontakt
Sprechen Sie mit unseren Experten – unverbindlich und kostenlos.
E-Mail: info@compliancerechtsanwaelte.de
Telefon: 089 2152 7445
Autor dieses Artikels: RA Dr. Maximilian Degenhart, Geschäftsführer der Compliance Beratung + Service Rechtsanwaltsgesellschaft mbH.
Compliance Rechtsanwälte ist eine Spezialkanzlei für Compliance, die in den Kernbereichen Compliance-Organisation, Datenschutz, ESG, Geldwäsche, IT-Recht, Strafrecht, Hinweisgebersystemen, Lieferketten und Schulungen tätig ist. Das Team von Compliance Rechtsanwälte berät eine breite Vielfalt an Mandanten. Dazu gehören aufstrebende mittelständische Unternehmen genauso wie die öffentliche Hand und Konzerne. Compliance Rechtsanwälte ist eine der führenden Adressen für Compliance in Deutschland.