Regulatorik Deep Dive

Verschärfte europäische Anforderungen zur Cyber-Security treffen viele deutsche Unternehmen

In Zeiten kontinuierlich zunehmender Internetkriminalität hat sich die Europäische Union nochmals dem Thema Cyber-Sicherheit zugewandt. Anfang 2023 traten gleich zwei neue europäische Rechtsakte in Kraft: die zweite Fassung der Network and Information Security Richtlinie (NIS2) und der Digital Operational Resilience Act (DORA). Unsere Experten Johannes Helke, Stephan Halder und Hans-Peter Toft von unserem Kooperationspartner BDO Legal geben einen Überblick über die neuen Richtlinien.

Zahlreiche Unternehmen erstmals von NIS betroffen

Als europäische Richtlinie gilt NIS2 nicht unmittelbar, sondern ist bis zum 17. Oktober 2024 in nationales Recht umzusetzen. In Deutschland soll dies durch eine Neufassung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) geschehen. Die umfassenderen Cyber-Sicherheitsanforderungen des neuen BSIG werden einen erweiterten Kreis von Einrichtungen und Unternehmen treffen. Bei Verstößen gelten erheblich verschärfte Sanktionen, die nicht nur die regulierten Unternehmen selbst, sondern auch deren Leitungsorgane persönlich treffen können. Da die Zeit drängt, sollten Unternehmen bereits jetzt prüfen, ob sie den neuen Cyber-Regeln unterfallen. Dies ist allerdings nicht immer leicht zu beantworten.

Pflichtig sind zunächst Unternehmen, die bereits unter KRITIS Adressat von Cyber-Anforderungen waren. Hier ändert sich nichts. Darüber hinaus können Unternehmen oder Betriebsteile der neuen Regelung unterfallen, die in einem der in § 28 BSIG aufgeführten Sektoren tätig sind. Insbesondere durch die Aufnahme der neuen Sektoren „verarbeiten- des Gewerbe/Produktion und Ernährung“ fallen bis zu 30.000 deutsche Unternehmen erstmals unter die Regulierung der Cyber-Sicherheit und die Sanktionen.

Von der konkreten Tätigkeit und weiteren Kennzahlen (Mitarbeiterzahl/Umsatz-/Bilanzsumme) hängt dann ab, welche Cyber-Anforderungen bestehen. Erleichterungen und Ausnahmen sieht der Gesetzentwurf für kleinere Unternehmen vor.

Cyber-Regulierung des Sektors Finanzwesen durch DORA

Der direkt anwendbare DORA weist viele Parallelen zu NIS2 auf, beschränkt sich aber auf den Finanzsektor. Betroffen sind nicht nur Kreditinstitute, Handelsplätze und Versicherungen, sondern z. B. auch Versicherungsvermittler, Verwaltungsgesellschaften oder Einrichtungen der betrieblichen Altersversorgung sowie deren digitale Dienstleister (sog. IKT-Drittdienstleister). Auch hier gilt es für betroffene Unternehmen, die konkreten Anforderungen von DORA an die Cyber-Sicherheit zu prüfen.

Interdependenzen DORA und NIS2

Während NIS2 durch einen einheitlichen Governance-Rahmen ein hohes digitales Sicherheitsniveau für betroffene Unternehmen in der EU schafft, ist DORA eine Ableitung der NIS2-Richtlinie für den Finanzsektor mit sektorspezifischen Cyber-Sicherheitsanforderungen. Als speziellere Regelung geht DORA den Vorschriften von NIS2 vor.

Kurze Umsetzungsfristen und gestiegene Cyber-Anforderungen verlangen von Unternehmen ein strategisches Vorgehen. Der Status quo der aktuellen Sicherheitseinrichtungen und der geschützten Geschäftsprozesse ist zu erheben und mit den Vorgaben von DORA und NIS2 abzugleichen. Hieraus ergibt sich der dringende Handlungsbedarf.

Pflichten aus NIS2

NIS2 teilt betroffene Unternehmen in drei Kategorien ein: Betreiber kritischer Anlagen, die die härtesten Cyber-Anforderungen treffen, sowie besonders wichtige und schließlich wichtige Unternehmen, bei denen die Cyber-Anforderungen jeweils graduell abgeschwächt werden.

Die Anforderungen aus NIS2 zielen darauf ab, Netzwerk- und Informationssysteme und deren physische Sicherheit vor Störungen zu schützen – basierend auf Cyber-Security- Standards wie:

  • Richtlinien zur Risikoanalyse und Informationssystemsicherheit
  • Umgang mit IKT-Vorfällen mit Aspekten erhöhter operationaler Resilienz
  • BCM mit Disaster Recovery und Crisis Management
  • Sicherheit der IKT-Lieferkette bezogen auf unmittelbare Dienstleister oder Lieferanten
  • Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzwerk- und Informationssystemen,
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen des Risikomanagements der Cyber-Sicherheit
  • grundlegende Stärkung der „Human Firewall“ über bspw. Cyber-Sicherheitsschulungen
  • Konzepte und Verfahren bezüglich der Verwendung von Kryptografie und Verschlüsselung
  • Personalsicherheit über Zugangskontrollrichtlinien,
  • Benutzerberechtigungsmanagement mit Verwendung von Multi-Faktor- oder kontinuierlichen Authentifizierungsmethoden

Pflichten aus DORA

Die Vorgaben aus DORA sehen vor, dass betroffene Unternehmen einen Governance- und Kontrollrahmen in entsprechenden Leitlinien definieren, um einen sicheren Betrieb der IKT-Systeme und Informationen zu ermöglichen. Große Bedeutung kommt dabei dem Risikomanagement zu. Die Gesamtverantwortung liegt beim Leitungsorgan des Unternehmens. Fachliche Schulungen müssen die Verantwortlichen in die Lage versetzen, die IKT-Risiken und deren Auswirkungen auf die Geschäftstätigkeit bewerten zu können. Besonderes Augenmerk gilt dem Management von IKT-Dienstleister-Risiken, für die das beauftragende Unter- nehmen jederzeit verantwortlich bleibt.

Der Nachweis zur Einhaltung der DORA-Vorgaben soll einmal jährlich durch interne oder externe Stellen erfolgen, wobei eine Auslagerung der Überprüfung das Finanzunter- nehmen nicht von der Verantwortung über die Einhaltung entbindet.

Zu den bereits aufgeführten DORA-Schwerpunkten werden zudem noch strengere Vorgaben für folgende Bereiche definiert:

  • Erweiterung des IKT-Vorfallsmanagements durch Meldewesen-Prozesse mit vorgegebener Klassifizierung
  • freiwillige Meldung von erheblichen Cyber-Bedrohungen
  • verbessertes Schwachstellenmanagement durch Basis-Tests sowie fortgeschrittenen Threat Led Penetration Tests (TLPT)
  • Einrichtung der Risk-Management-Control-Funktion wie CISO, ISO oder ISB
  • Asset Management unter Berücksichtigung von sicherer und autorisierter Soft- und Hardware
  • Source-Code-Analyse und -Testing von proprietärer Software
  • verbesserte Netzwerksicherheit durch sichere Prozesse und Verfahren
  • Erhöhung der Betriebsstabilität durch umfassende BCM-Vorgaben
  • Vorgaben für das Identity Access Management
  • strengere Vorgaben für den Einsatz von Verschlüsselungen

Behördliche Aufsicht, Bußgelder und Schadensersatz

NIS2 flankiert die verschärften Cyber-Anforderungen mit einer Registrierungspflicht für alle betroffenen Unternehmen, erweiterten Aufsichtsbefugnissen der Behörden und schärferen Sanktionen von Verstößen.
Bei Verstößen gegen Cyber-Pflichten drohen Unter- nehmen Bußgelder bis zu einer Höhe von zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes, wenn dieser höher ist. Der Sanktionskatalog ähnelt damit dem der DSGVO.

Außerdem verpflichtet NIS2 den nationalen Gesetzgeber erstmals, eine direkte persönliche Haftung der zuständigen Leitungsorgane für Folgen der Nichteinhaltung von Cyber-Sicherheitspflichten einzuführen. Führungskräfte haften u. U. neben dem Unternehmen direkt gegenüber Betroffenen.

Zeit zu handeln

Mit NIS2 und DORA wird Cyber-Sicherheit in Deutschland zu einer zentralen Aufgabe für Unternehmen und deren Leitungsorgane. Die neuen Cyber-Anforderungen treffen einen erheblich größeren Kreis von Unternehmen und zwingen diese, ihre bisherige Cyber-Sicherheitspraxis zu überdenken und zu verbessern.