NI2: Klappe, die Zweite!

Die NIS2 war 2024 schon kurz vor dem Ziel und ist u. a. durch die zerbrochene Regierung gescheitert. Sie ist nun aber endlich in der Neuauflage erfolgreich durch den Bundestag und Bundesrat gebracht worden, der Bundespräsident sollte in Kürze das Gesetz unterzeichnen. Damit ist in wenigen Tagen damit zu rechnen, dass es im Bundesgesetzblatt erscheint und für 2026 verbindlich wird.

Diese sehr wichtige und höchst notwendige Regulatorik der EU zur Verbesserung der Cybersicherheit des gesamten Binnenmarktes betrifft sehr viele Organisationen, es sind allein in Deutschland lt. Bundesregierung bis zu 30.000 Unternehmen in 18 wichtigen Branchen betroffen. Es ist damit zu rechnen, dass sich dieses Gesetz auch in der Lieferkette durchsetzt, dann wären noch mehr Unternehmen vertraglich betroffen (jedoch nicht regulatorisch).

Für die betroffenen Unternehmen werden im Sinne eines risikobasierten und umfassenden „Allgefahren-Ansatzes“ bei NIS-2 alle "möglichen" Gefahren betrachtet, daher müssen die Maßnahmen nicht nur die digitale Sicherheit der Netz- und Informationssysteme schützen, sondern auch die physische Umgebung und beispielsweise die Hardware, auf der die Systeme laufen und die größte Schwachstelle, den Menschen.

Nebentätigkeit

Durch die neu eingeführte „Nebentätigkeit“ können Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind. Damit wird im Einzelfall vermieden, dass eine nur geringfügige Nebentätigkeit zu einer unverhältnismäßigen Identifizierung als wichtige oder besonders wichtige Einrichtung und somit zu hohem Aufwand und Kosten führt. Das ist vernünftig, es ergeben sich in der Praxis dann jedoch auch Abgrenzungsfragen.

Was ist konkret zu tun?

Zunächst ist für jede Organisation die Prüfung zu empfehlen, ob sie wg. Größe (ab 50 Mitarbeiter) bzw. Geschäftsfeld (18 Branchen) unter die Regulatorik fällt. Wenn ja, ist eine aktive Pflicht zur Registrierung innerhalb von 3 Monaten vorhanden.

Die nötigen Risikomanagementmaßnahmen werden vor allem § 30 des Umsetzungsgesetzes gelistet, zudem sind in anderen Artikeln die Maßnahmen für Schulung des Managements angesprochen, zudem ist das Meldewesen auf Basis der Berichtspflichten von Relevanz.

Zusammengefasst ist insbesondere folgendes Dutzend von Anforderungen zu beachten, um die Prävention und Bewältigung von Sicherheitsvorfällen gemäß NIS-2 zu stärken. Die Maßnahmen müssen zumindest Folgendes umfassen:

1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,

2. Bewältigung von Sicherheitsvorfällen,

3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,

4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern,

5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,

6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,

7. grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik,

8. Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren,

9. Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen,

10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

11. Die Einrichtungen müssen ein Meldewesen aufbauen, das in der Lage ist, im Rahmen der Fristen Meldungen durchführen zu können.

12. Die Geschäftsleitung ist zu schulen, um in die Lage versetzt zu werden, die Umsetzung der Maßnahmen zu überwachen.

Dieses Dutzend Maßnahmen zielt darauf ab, die Cybersicherheit von Organisationen zu verbessern. Dabei sind verschiedene Bereiche betroffen, angefangen von der Organisation und Technologie bis hin zu den Menschen dem physischen Schutz und rechtlichen Fragen.

Haftungsrisiken für die Leitung

Geschäftsleitung in der Haftung

In dem Gesetz werden auch Umsetzungs-, Überwachungs- und Schulungspflichten für Geschäftsleitungen festgelegt. Die Geschäftsleitungen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen!

Geschäftsleitungen, die ihre Pflichten verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts. Nach NIS2 haften sie nur, wenn die für die Einrichtung maßgeblichen gesellschaftsrechtlichen Bestimmungen keine Haftungsregelung nach Satz 1 enthalten.

Somit wird ein Auffangtatbestand geschaffen, um die Leitung aller Organisationen zu erfassen, nicht nur AGs und GmbHs, für die ohnehin gesetzliche Sorgfaltspflichten gelten.

Was heißt das nun? Erst einmal: Nichtstun geht nicht! Wer unter NIS2 fällt, muss etwas tun und sollte eine Gap-Analyse, also den Vergleich zwischen Anforderungen und Status quo machen lassen. Wenn dann noch Lücken vorhanden sind, müssen diese geschlossen werden.

Motivieren und helfen kann bei der Einschätzung ggf. die „Business Judgement Rule“. Vereinfacht gesagt ist es so, dass ein Geschäftsführer nicht für eine unternehmerische Fehlentscheidung haftet, wenn er bei der Entscheidung auf Grundlage angemessener Informationen, frei von Interessenkonflikten, zum Wohle des Unternehmens und in guter Absicht gehandelt hat. Sie schützt aber nicht vor Gesetzesverstößen!

Übersetzt in die NIS2-Logik heißt das: „Nichtstun“ ohne fundierte und informierte Begründung ist kritisch. Angesicht der bekannten Lageberichte kann keiner die Risiken ignorieren und daraus herleiten, dass er nichts tun muss. Erst nach der Gap-Analyse weiß man, ob Handlungsbedarf vorhanden ist und kann fundiert entscheiden.

ISO/IEC 27001, das ISMS und die Zertifizierung

Eine Gap-Analyse sollte sich auf die Anforderungen von NIS2 stützen, die aber nicht tief ins Detail gehen. Hier kann die ISO 27001 helfen. Sie ist Teil der ISO/IEC-27000-Reihe und diese bildet international anerkannte Standards ab, diese dienen gem. NIS-2-Erwägungsgrund 79 als zulässiger Nachweisrahmen für die Umsetzung der NIS-2-Richtlinie.

Im nationalen Kontext hat die Bundesregierung zudem einen Weg geschaffen, der den BSI-IT-Grundschutz für die unter NIS2 fallenden Bundesbehörden heranzieht, wobei ein fachliches Mapping auf die ISO 27001 gefordert ist. Das wird materiell vom vorgegebenen Schutzniveau her als vergleichbar angesehen.

Somit ist klar, dass die Implementierung technischer und organisatorischer Maßnahmen im Rahmen eines soliden und umfassenden Informationssicherheitsmanagementsystems (ISMS) erfolgen kann, das idealerweise auf dem Standard der ISO/IEC 27001 basiert. Eine ISO 27001-Zertifizierung ist in NIS2 jedoch nicht gefordert.

Aussenwirkung

Darüber hinaus ermöglicht eine Zertifizierung gemäß ISO/IEC 27001 zweifellos einen belastbareren Nachweis der Einhaltung dieser Standards im Vergleich zur bloßen Behauptung, „NIS-2 compliant“ zu sein.

So hat ein Zertifikat auf Basis eines durch unabhängige Dritte durchgeführten Audits eine bessere Aussenwirkung, ist belastbarer und bietet zudem auch mehr „Gerichtsfestigkeit“. Unterlassene Sorgfaltspflichten kann man der Geschäftsleitung dann in jedem Falle nicht mehr vorwerfen!

Denn es gibt international geregelte Verfahren, um mit Hilfe bekannter und regulierter Organisationen sowie ausgebildeter und akkreditierter Prüfer eine international anerkannte Zertifizierung durchzuführen. Gerade wenn es wg. NIS-2 um Geldbußen für das Unternehmen oder persönliche Haftungsrisiken für das Managementpersonal geht, kann ein Zertifikat zugunsten des Beklagten den Ausschlag geben, um die Entkräftung des Vorwurfs der „Untätigkeit bzw. Fahrlässigkeit“ nachweislich zu führen.

Fazit

Der Bezug auf die ISO/IEC 27000-Reihe bietet den Vorteil der Nutzung aller Normen der ISO 27000-Reihe, etablierter Schulungsanbieter mit bekannten Curricula, Literatur, Checklisten, Prüfverfahren, akkreditierter Prüfer und Prüforganisationen, Berater und Tools.

Zusammenfassend lässt sich sagen, dass die Anforderungen der NIS-2-Richtlinie zwar anspruchsvoll, jedoch im Rahmen der ISO/IEC 27000-Normen mit Hilfe eines ISMS gem. ISO/IEC 27001 branchenunabhängig, flexibel und für alle 18 Branchen der NIS-2 umsetzbar sind.

So ist der zweite Anlauf der NIS 2 letztlich erfolgreich gewesen. Cybersicherheit hat zweifellos ihren Preis, doch die Investition in angemessene Sicherheitsmaßnahmen ist unerlässlich, um die Organisation und die Lieferkette angesichts stark zunehmender Digitalisierung vor den stetig wachsenden Bedrohungen zu schützen, die hohe Risiken - bin hin zur Insolvenz - für das gesamte Unternehmen bergen.

Zum Nulltarif ist ein "Mehr" an Sicherheit leider nicht zu bekommen.

Opexa hilft mit Tools und Beratung, die NIS2 pragmatisch umzusetzen, sogar mit Erfolgsgarantie!

Kontaktieren Sie uns hier für ein kostenloses und unverbindliches Strategiegespräch:

https://www.opexaadvisory.de/discovery