Anstatt eines IT-SicherheitsG 3.0 kommt das NIS2UmsuCG

Mehr gesetzlich verordnete IT-Sicherheit für Unternehmen ab 2024

Ende 2022 wurde die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) im Amtsblatt der Europäischen Union veröffentlicht und sie ist dann im Januar 2023 in Kraft getreten. Die NIS-2-Richtlinie hat das Ziel, ein europaweites Cybersicherheits-Niveau für gesellschaftlich bedeutende Bereiche, wie z.B. dem Gesundheits- oder den Energiesektor, zu schaffen und sie ist bis zum 17.10.2024 von den Mitgliedsstaaten der EU in das jeweilige nationale Recht umzusetzen.

_IT-Sicherheitsgsesetz 3.0 kommt als NIS2UmsuCG

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG

Hierzu wird es in Deutschland anstatt eines IT-SicherheitsG 3.0 das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und CybersicherheitsstärkungsgesetzNIS2UmsuCG)“ geben. Wie schon beim IT-SicherheitsG handelt es sich beim NIS2UmsuCG um ein Artikelgesetz, das bereits bestehende Gesetze entsprechend der NIS2-Richtlinie verändert, insbesondere das BSiG.

Ein Entwurf des NIS2UmsuCG liegt bereits vor. Wie in der Richtlinie bereits vorgegeben, werden tausende Unternehmen in den Anwendungsbereich des Gesetzes fallen, sofern sie – vereinfach gesagt - in einem der 18 genannten Sektoren tätig sind und eine Größe von mehr als 50 bzw. 250 Mitarbeitern haben oder einen Umsatz von mehr als 10 Millionen Euro jährlich erwirtschaften.

Was ist im NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) nun vor allem geregelt?

  • Cybersicherheitsstrategie der BRD, zentrale Anlaufstellen für Cybersicherheit und Einrichtung von Computer-Notfallteams (CSIRT)
  • Erheblich erweiterte Aufgaben für das BSI
  • Sektoren und Schwellenwerte
  • Risikomanagementmaßnahmen
  • Berichts- und Meldepflichten
  • Haftungstatbestände, insbesondere persönliche Haftung von Geschäftsführern und Vorständen
  • Zeitlicher Fahrplan zur Umsetzung der Richtlinie

Wen betrifft das NIS2UmsuCG?

Kurz gesagt: alle Unternehmen, die entweder eine kritische Anlage betreiben oder in einem der Sektoren der Anlage 1 und 2 tätig sind und eine gewisse Größe bzw. einen bestimmten Umsatz haben.

Grob kann man drei Bereiche unterscheiden:

  1. Betreiber kritischer Anlagen,
  2. besonders wichtige Einrichtungen und
  3. wichtige Einrichtungen

Betreiber kritischer Anlagen

Betreiber kritischer Anlagen sind in aller Regel solche, die eine KRITIS-Anlage über einen bestimmten Schwellenwert betreiben. Das bedeutet: versorgt eine Anlage in der Regel über 500.000 Personen, ist sie eine KRITIS-Anlage. Obwohl wir die entsprechende Rechtsverordnung dazu noch nicht kennen, dürften ganz grob gesagt, alle Unternehmen, die bisher KRITS waren, auch KRITIS bleiben  - und wahrscheinlich noch ein paar mehr.  

Besonders wichtige Einrichtungen

Einrichtungen, die 250 Mitarbeiter oder mehr haben oder mindestens 50 Millionen Euro Umsatz haben und eine Bilanz von mindestens 43 Millionen Euro müssen prüfen, ob sie in einem Sektor der Anlage 1 tätig sind. Falls ja, sind sie besonders wichtige Einrichtungen.

Es gibt hier Ausnahmefälle, die Unabhängig von der Größe in jedem Fall als besonders wichtige Einrichtung gelten, wie TK-Anbieter oder die oben genannten kritische Anlagen.

Wichtige Einrichtungen

Einrichtungen, die 50 oder mehr Mitarbeiter haben oder 10 Millionen Euro Umsatz und eine Bilanz ab 10 Millionen Euro müssen prüfen, ob sie in einem Sektor der Anlage 1 oder 2 tätig sind. Falls ja, sind sie sonstige wichtige Einrichtungen.

Empfehlungen des BSI hinsichtlich der Umsetzung von NIS-2

Die NIS-2-Richtlinie muss von den Mitgliedsstaaten bis spätestens Oktober 2024 in nationales Recht umgesetzt werden. Diese EU-weite Regelung verpflichtet Unternehmen und Institutionen, ihre Cyber- und Informationssicherheitsmaßnahmen zu verbessern. Ob Deutschland das entsprechende Gesetz bis Herbst verabschiedet haben wird, ist noch nicht sicher. Klar ist jedoch, dass eine Erhöhung des IT-Sicherheitsniveaus unvermeidbar ist, insbesondere für kleine und mittlere Unternehmen (KMU). Die personellen, finanziellen und strukturellen Herausforderungen sind groß, nicht zuletzt wegen der tatsächlichen Bedrohungslage.

Das BSI stellt klar: Der wichtigste Schritt ist, anzufangen.

Unternehmen können sich dann im Austausch mit anderen Firmen und dem BSI weiterentwickeln. Das BSI bietet eine Vielzahl von Methoden, Empfehlungen und Standards für mehr Cyberresilienz in der Wirtschaft sowie zahlreiche Möglichkeiten zum Austausch und zur Kooperation.

Aus dem BSI-Magazin 2024/01:

Das NIS2UmsuCG wird erheblich zur Erhöhung des Cybersicherheitsniveaus in Deutschland beitragen. Unternehmen und Institutionen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um ihre IT und Prozesse zu schützen, Störungen zu vermeiden und Auswirkungen von Sicherheitsvorfällen zu minimieren.

Dazu gehören

  • verpflichtende Schulungen für Geschäftsleitungen
  • Maßnahmen zur Bewältigung von IT-Sicherheitsvorfällen
  • ein Back-up- und Krisenmanagement
  • sowie der Einsatz von Multi-Faktor-Authentifizierung.

Cybersicherheit ist nicht nur Voraussetzung für eine erfolgreiche Digitalisierung, sondern auch entscheidend für das Zusammenleben, die wirtschaftliche Stärke und digitale Souveränität. Die Umsetzung der NIS-2-Richtlinie stellt einen bedeutenden EU-weiten Regulierungsrahmen dar und ist ein wichtiger Beitrag zur Cybernation Deutschland. Ein einheitlich hohes Cybersicherheitsniveau ist unerlässlich, um den wachsenden Herausforderungen in der IT-Sicherheit zu begegnen.

Nützliche Angebote des BSI (BSI-Magazin 2024/01, S. 12-13).

  • Allianz für Cyber-Sicherheit: Erfahrungsaustausch zu Themen wie Angriffsvektoren, Schutzmaßnahmen, Sicherheitsmanagement
  • IT-Grundschutz: Systematisches Vorgehen, um notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen
  • UP KRITIS: Arbeitskreise zur Mitbestimmung zum Stand der Technik, Krisenübungen, Informationen zu nationalen und internationalen Gesetzesvorhaben, Cybersicherheitswarnungen, Management-Infos, Meldung von Vorfällen
  • Cyber-Sicherheitsnetzwerk (CSN): Expertennetzwerk für die IT-Vorfallsbearbeitung zur Behebung von IT-Sicherheitsvorfällen, Unterstützung bei der Übernahme reaktiver Tätigkeiten, Erkennung und Analyse von IT-Sicherheitsvorfälle, Begrenzung des Schadensausmaßes und Verhinderung weiterer Schäden
  • CyberRisikoCheck: Bericht über Befragung durch einen IT-Dienstleister mit Darstellung etwaiger Defizite und konkreten Handlungsempfehlungen

Vom BSI wird ein "NIS-2-Checker" entwickelt, der Unternehmen ermöglicht, schnell zu überprüfen, ob sie von der NIS-2-Richtlinie betroffen sind und welche Pflichten sich daraus ergeben. (BSI-Magazin 2024/01, S. 10-11)

Was aber gilt hinsichtlich Tochter- oder Schwesterunternehmen?

Hinsichtlich Tochter- oder Schwesterunternehmen gilt § 28 Abs. 3 des geplanten BSI-Gesetzes. Dort steht: Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme nach den Absätzen 1 und 2 ist auf die der Einrichtungsart zuzuordnende Geschäftstätigkeit abzustellen und außer für rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft die Empfehlung 2003/361/EG mit Ausnahme von Artikel 3 Absatz 4 des Anhangs anzuwenden.

Was steht in dieser Empfehlung 2003/361/EG?

In Art. 3 steht, dass jedes Unternehmen als ein eigenständiges Unternehmen gilt, das nicht als Partnerunternehmen im Sinne von Absatz 2 oder als verbundenes Unternehmen im Sinne von Absatz 3 gilt. Übersetzt bedeutet das: jedes Unternehmen wird erstmal für sich allein bewertet, außer, es liegen Partnerunternehmen oder verbundene Unternehmen vor.

Was ist ein Partnerunternehmen?

Partnerunternehmen sind alle Unternehmen, die nicht als verbundene Unternehmen im Sinne des Absatz 3 gelten, und zwischen denen folgende Beziehung besteht:  Ein Unternehmen hält allein oder gemeinsam mit einem oder mehreren verbundenen Unternehmen (i.S.d. Abs. 3), 25 Prozent oder mehr des Kapitals oder der Stimmenrechte eines anderen Unternehmens.

Das heißt: ein Unternehmen, das an einem anderen Unternehmen zwischen 25 und 50% der Gesellschaftsanteile hält (oder auch nur die Stimmrechte), ist ein Partnerunternehmen und wird hinsichtlich Umsatz- und Mitarbeiterzahl dem Erstunternehmen hinzugezählt. 

Gleiches gilt für verbundene Unternehmen:

Was sind verbundene Unternehmen?

Verbundene Unternehmen sind Unternehmen, die zueinander in der folgenden Beziehung stehen: Ein Unternehmen hält die Mehrheit der Stimmrechte der Aktionäre oder Gesellschafter eines anderen Unternehmens, das Unternehmen ist berechtigt, die Mehrheit der Mitglieder des Verwaltungsgremiums eines anderen Unternehmens zu bestellen oder abzuberufen, ein Unternehmen ist berechtigt einen beherrschenden Einfluss auf ein anderes Unternehmen auszuüben, oder ein Unternehmen, das Aktionär oder Gesellschaften eines anderen Unternehmens ist, übt die Mehrheit der Stimmrechte aus.

Das heißt, v.a., dass ein Unternehmen, das an einem anderen Unternehmen zwischen 51 und 100% der Gesellschaftsanteile hält (oder auch nur die Stimmrechte), ist ein verbundenes Unternehmen und wird hinsichtlich Umsatz- und Mitarbeiterzahl dem Erstunternehmen hinzugezählt. 

Fazit

Eine Firmenaufspaltung um den Verpflichtungen aus NIS2 zu entkommen wird sich nicht lohnen, weil die Unternehmen zusammengezählt werden.

Online-Seminar zum NIS2UmsuCG

IT-Sicherheitsrecht 2024

In diesem Online-Seminar bekommen Sie einen kompakten Überblick über die aktuell geltenden gesetzlichen Verpflichtungen von Unternehmen zur IT-Sicherheit, einschließlich aller aktuellen Neuerungen rund um die NIS2-Richtlinie bzw. das bereits als Entwurf vorliegende NIS2UmsuCG.

Die Inhalte sind so aufbereitet, dass Sie danach sofort anfangen können, die gesetzlichen Vorgaben umzusetzen. 

IT-Sicherheitsrecht 2024 - Intensivseminar

Stand: Mai 2024

Sie brauchen Unterstützung?

Wir stehen Ihnen gerne für weitere Fragen und zur Beratung zur Verfügung - kontaktieren Sie uns!
Kontakt
envelopephonemap-markerlocation