15.04.2024
IT-Sicherheit 2024: Neue Herausforderungen und Lösungen für Ihr Unternehmen
Die Cybersicherheitslage in Europa ist angespannt. Unternehmen sind zunehmend Risiken durch Cyber-Angriffe ausgesetzt, die hohe Schäden verursachen und bei Angriffen auf kritische Infrastrukturen auch die Gesellschaft als Ganzes betreffen können. Diese wachsende Bedrohungslage hat dazu geführt, dass Informationssicherheit für Unternehmen längst nicht mehr nur ein Trend, sondern eine Notwendigkeit ist.
Gleichzeitig hat sie den Gesetzgeber dazu veranlasst, die rechtlichen Anforderungen weiter zu verschärfen, mit dem Ziel, durch einen noch strengeren Regulierungsrahmen das Sicherheitsniveau im europäischen Raum zu erhöhen. Von besonderer Bedeutung sind dabei die NIS2-Richtlinie (The Network and Information Security (NIS) Directive) als Neuauflage der NIS-Richtline und die DORA-Verordnung (Digital Operational Resilience Act). Die NIS2-Richtlinie weitet ihren Anwendungsbereich dabei stark aus – in Deutschland werden voraussichtlich ca. 30.000 Unternehmen betroffen sein. DORA gilt für sämtliche in Art. 2 Abs. 1 DORA definierte kritische Sektoren der Finanzbranche und geht als spezielleres Gesetz auf dem Gebiet der Cybersecurity-Regulierung den Regelungen der NIS2-Richtlinie vor. Gemeinsam ist beiden Regelwerken, dass sie das Risikomanagement in den Mittelpunkt stellen und die Verantwortung der Unternehmensleitung betonen.
In diesem Kontext sollten Unternehmen ihre Cybersicherheitsstrategie überprüfen und an die neu formulierten Anforderungen anpassen. Gerade weil es sich bei der Umsetzung von neuen Sicherheitsstrategien oft um langfristige Projekte handelt, lohnt sich eine frühzeitige Auseinandersetzung mit den neuen EU-Datenregulierungen, um die Anforderungen rechtskonform und praktikabel umsetzen zu können. Als auf IT-Recht und Informationssicherheitsrecht spezialisierte Kanzlei unterstützen wir Sie gerne dabei und beraten Sie umfassend bei der Umsetzung der neuen gesetzlichen Anforderungen. Der folgende Artikel gibt Ihnen vorab einen kurzen Überblick über bereits bestehende Regelungen und fokussiert anschließend die NIS2-Richtlinie sowie DORA und deren Auswirkungen für Unternehmen.
Informationssicherheit: vom Trend zur Notwendigkeit
Die Cyber-Sicherheitslage für Unternehmen, Behörden und sonstige Organisationen in Europa ist seit langem angespannt und zeigt, wie wichtig und notwendig Cyber-Resilienz heutzutage ist. So kann ein IT-Sicherheitsvorfall zu unberechtigtem Zugriff auf sensible Unternehmensdaten und damit zu Datenverlust führen. Häufig zielen Cyber-Angriffe auch auf den Diebstahl geschützter Informationen, Geschäftsgeheimnisse oder anderer Formen geistigen Eigentums ab. Ein erfolgreicher Angriff geht häufig mit einem Reputationsschaden einher. Unternehmen können für Datenschutzverletzungen und mangelnde Sicherheitsmaßnahmen haftbar gemacht werden, so dass je nach Standort und Art des Vorfalls Haftung und rechtliche Konsequenzen drohen. IT-Sicherheitsvorfälle, insbesondere Ransomware-Angriffe, können auch zu erheblichen Betriebsunterbrechungen führen, die dann Produktionsausfälle, Serviceunterbrechungen und finanziellen Verlusten zur Folge haben können.
Newsletter
Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.
Ausweitung der Cyberregulierung: NIS2 und DORA
Der regulatorische Rahmen im Bereich der Informationssicherheit in Europa setzt sich aus einer Vielzahl europäischer, nationaler und branchenspezifischer Vorgaben und Standards zusammen.
Überblick über den regulatorischen Rahmen
Den europäischen Rechtsrahmen bilden neben der NIS-Richtlinie unter anderem die Datenschutz-Grundverordnung (DSGVO), der Cyber Security Act, und die Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie) und die KI-Verordnung. Daneben wird auch der Cyber Resilience Act, dessen Verabschiedung in Kürze erwartet wird, den Rahmen weiter ergänzen.
Nationale Gesetzgebung umfasst unter anderem das BSI-G (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), das Telekommunikationsgesetz (TKG) und das Bundesdatenschutzgesetz (BDSG).
Gleichzeitig formulieren Verwaltungsvorschriften weitere Bestimmungen, wie z.B. die Bankaufsichtlichen Anforderungen an die IT („BAIT“) und deren Pendant für die Versicherungswirtschaft, die Versicherungsaufsichtlichen Anforderungen an die IT („VAIT“). Dieser komplexe Rechtrahmen wurde nun erweitert um die NIS2-Richtlinie und die DORA.
NIS2: Network & Information Security Directive
Die NIS2-Richtlinie ist seit dem 16.01.2023 in Kraft; in Deutschland erfolgt die Umsetzung bis Oktober 2024 durch das NIS2- Umsetzungs- und Cybersicherheits-Stärkungsgesetz (NIS2UmsuCG). Ziel der NIS2-Richtlinie ist es, die Anforderungen an Cybersicherheitsvorkehrungen auf europäischer Ebene zu vereinheitlichen und hierdurch ein hohes Sicherheitsniveau für gesellschaftlich relevante Organisationen zu gewährleisten. Die Richtlinie baut inhaltlich auf der NIS-Richtlinie auf, erweitert jedoch den persönlichen Anwendungsbereich und verschärft an verschiedenen Stellen die Anforderungen, Kriterien sowie Kontroll- und Sanktionsmöglichkeiten.
Anwendungsbereich
Der Anwendungsbereich richtet sich nach den Kriterien Sektor und Unternehmensgröße.
Zum einen unterscheidet die Richtlinie nun zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Diese neue Unterteilung wird insbesondere im Zusammenhang mit den neu definierten Pflichten der Einrichtungen und den Aufsichts- und Durchsetzungsbefugnissen der zuständigen Behörden relevant. Welche Einrichtungen wesentlich beziehungsweise wichtig sind, ergibt sich aus den entsprechenden Anhängen I („hohe Kritikalität“) und II („sonstige kritische Sektoren“) und richtet sich insofern nach der Zugehörigkeit zu bestimmten Sektoren, Teilsektoren und Arten von Einrichtungen. Erfasst werden alle Unternehmen in den kritischen Sektoren mit mindestens 50 Beschäftigten oder einem Jahresumsatz bzw. einer Jahresbilanz von mehr als 10 Mio. EUR (mittlere und große Unternehmen). Kleinst- und Kleinunternehmen sind dagegen grundsätzlich ausgenommen.
Zum anderen umfasst der Katalog der Sektoren im Bereich der „wesentlichen Einrichtungen“ nun auch die Abwasserwirtschaft, die öffentliche Verwaltung und die Weltraumwirtschaft. Zu den „wichtigen Einrichtungen“ zählen nun auch Unternehmen der Sektoren Postwesen, Abfallwirtschaft, Chemie, Lebensmittelwirtschaft und produzierendes Gewerbe sowie Digitalanbieter.
Was wird gefordert?
Mit der NIS2-Richtlinie wurde der Pflichtenkatalog erweitert, den Unternehmen künftig zu beachten haben.
So muss bei einem erheblichen Sicherheitsvorfall innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls eine Erstanzeige an die zuständige Behörde erfolgen und nach einem Monat ein Abschlussbericht vorgelegt werden. Zu beachten ist, dass die Definition eines Sicherheitsvorfalles erweitert wurde und nun bereits jede eingeschränkte Verfügbarkeit von Daten oder Diensten umfasst.
Wesentliche und wichtige Einrichtungen müssen angemessene technische und organisatorische Maßnahmen (TOM) ergreifen. Hierzu schlägt die Richtlinie in Art. 21 Abs. 2 NIS2-RL unter anderem Maßnahmen wie Risikoanalyse, Krisenmanagement und den Einsatz von Kryptografie und Verschlüsselung vor.
Eine besondere Verantwortung kommt bei alldem der Unternehmensleitung zu. Sie ist verpflichtet, Risikomanagementmaßnahmen zur Cybersicherheit zu genehmigen und deren Umsetzung zu überwachen. Diese Pflicht kann nicht durch die Beauftragung eines Dritten erfüllt werden. Im Falle einer Pflichtverletzung haftet die Geschäftsleitung persönlich gegenüber dem jeweiligen Unternehmen für den entstandenen Schaden.
Sanktionen
Um die Pflichten durchzusetzen, können die Behörden unter anderem Warnungen aussprechen, verbindliche Anweisungen erteilen und Verstöße gegen die Richtlinie bzw. das nationale Umsetzungsgesetz veröffentlichen. Im Falle wesentlicher Einrichtungen können – als ultima ratio – auch Leitungspersonen der jeweiligen Einrichtungen vorübergehend von ihren Aufgaben entbunden werden. Zudem drohen empfindliche Geldbußen: Für Betreiber:innen wesentlicher Einrichtungen beträgt die maximale Geldbuße entweder 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes, für Betreiber:innen wichtiger Einrichtungen sind es maximal 7 Mio. EUR oder 1,4 Prozent des weltweiten Jahresumsatzes.
DORA: Digital Operational Resilience Act
Der Digital Operational Resilience Act – kurz DORA – ist seit dem 17. Januar 2023 in Kraft; die niedergelegten Pflichten müssen betroffene Unternehmen bereits ab dem 17. Januar 2025 umsetzen. Mit der neuen Verordnung will die Europäische Union den stetig wachsenden IT-Sicherheits- und Cyber-Risiken insbesondere im Finanz- und Versicherungssektor begegnen. Die Sicherheit und operationale Resilienz des europäischen Finanzsektors sollen gestärkt und Standards harmonisiert werden. Dazu definiert sie für den Finanzsektor einheitliche Anforderungen an Risikomanagementsysteme und die Sicherheit der durch die verpflichteten Unternehmen genutzten Netz- und Informationssysteme.
Anwendungsbereich
Die Anforderungen der DORA gelten sektorübergreifend im Wesentlichen für alle beaufsichtigten Institute und Unternehmen des Finanzsektors – also z.B. für Kredit-, Zahlungs- und E-Geld-Institute sowie Anbieter von Krypto-Dienstleistungen und Versicherungsunternehmen. Neben den Unternehmen des Finanzsektors selbst betrifft die Verordnung auch kritische Dienstleister im Bereich der Informations- und Kommunikationstechnologie (IKT). Hierzu zählen beispielsweise Anbieter von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentrumsdienstleistungen.
Was wird gefordert?
Im Mittelpunkt der Anforderungen stehen die Einrichtung von IKT-Risikomanagementsystemen, Kontroll- und Überwachungsmaßnahmen sowie Meldepflichten.
Finanzunternehmen sind verpflichtet, ein umfassendes Informationssicherheitskonzept und einen IKT-Risikomanagementrahmen zu entwickeln. Dabei wird vor allem die Unternehmensleitung in die Pflicht genommen, das Management von IKT-Risiken aktiv mitzugestalten. Pflichten im IKT-Risikomanagement umfassen insbesondere:
- Implementierung eines IKT-Risikomanagementrahmens;
- Dokumentations- und Beseitigungspflichten für Risiken;
- Kontinuierliche Schutz- und Präventionsmaßnahmen;
- Reaktions- und Wiederherstellungspläne;
- Weiterentwicklung der operationalen Resilienz;
- Kommunikation an Kunden und andere Finanzunternehmen.
Wichtig ist dabei auch, die Risiken kontinuierlich zu kontrollieren sowie regelmäßig mit der Geschäftsleitung zu kommunizieren und diese unter anderem bei der Risikoakzeptanz einzubeziehen.
IKT-bezogene Vorfälle müssen überwacht und dokumentiert werden, insbesondere durch die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen und Meldung bei schwerwiegenden Vorfällen. Die operationelle Resilienz ist unter anderem durch bedrohungsorientierte Penetrationstests zu testen.
Sanktionen
DORA sieht keine Geldbußen oder andere strafrechtliche Sanktionen für die Nichteinhaltung der Verordnung vor. Die Verordnung weicht damit vom Ansatz der DSGVO und der NIS2-Richtlinie ab. Den EU-Mitgliedstaaten steht es jedoch frei, in ihrem nationalen Recht strafrechtliche Sanktionen für Verstöße gegen die DORA vorzusehen.
Die europäischen Aufsichtsbehörden werden ab Januar 2025 gegenüber kritischen IKT-Drittdienstleistern unter anderem das Recht haben, Informationen anzufordern, allgemeine Untersuchungen, einschließlich Prüfungen vor Ort, durchzuführen, Empfehlungen zur IKT-Sicherheit (z.B. zu Patching, Updates, Verschlüsselung) auszusprechen und öffentlich bekannt zu machen, wenn ein beaufsichtigtes Unternehmen diesen Empfehlungen nicht nachkommt und Sanktionen verhängt wurden.
Professionelle Unterstützung bei der Umsetzung der NIS2- und DORA-Anforderungen
Die NIS2-Richtlinie und DORA enthalten eine Reihe von Neuerungen, um die EU auf die gestiegenen Anforderungen im Bereich der Cybersicherheit vorzubereiten. Sie stellen das Risikomanagement in den Mittelpunkt und betonen die Verantwortung der Unternehmensleitung. Es ist jedoch ratsam, die beiden neuen Regelwerke nicht zu isoliert, sondern im Kontext aller relevanten europarechtlichen Regelungen zu betrachten. Denn es ist denkbar, dass Adressaten einer Richtlinie oder Verordnung auch Adressaten anderer thematisch verwandter europäischer Rechtsakte sind. So kommt je nach Fallgestaltung beispielsweise auch die Anwendung der DSGVO, der KI-Verordnung oder des Cyber Resilience Act in Betracht.
NIS2- und DORA-pflichtige Unternehmen sind daher gut beraten, rechtzeitig mit der Umsetzung der erforderlichen Maßnahmen zu beginnen. Unsere spezialisierten Anwält:innen bieten Ihnen dabei professionelle Unterstützung. Kontaktieren Sie uns jetzt für ein unverbindliches Erstgespräch!
Als auf IT-Recht spezialisierte Kanzlei bieten wir Ihnen umfassende Unterstützung und Beratung bei der Umsetzung dieser neuen Regelungen. Dazu führen wir zunächst eine Anwendbarkeitsanalyse durch. Dabei analysieren wir, mit welchen Vorschriften Ihr Unternehmen noch nicht compliant ist und identifizieren und priorisieren bestehende Sicherheitslücken. Anschließend ermitteln wir den Handlungsbedarf und erstellen für Sie einen Maßnahmenkatalog sowie eine entsprechende Roadmap zur Umsetzung der Maßnahmen. Schließlich unterstützen wir Sie bei der Umsetzung der Maßnahmen, bspw. durch die Implementierung von Sicherheitsmaßnahmen und -kontrollen, die laufende Überwachung und Anpassung der Sicherheitsinfrastruktur sowie die Schulung und Sensibilisierung Ihrer Mitarbeiter:innen.
Wir helfen Ihnen, die Anforderungen zu verstehen, Risiken zu minimieren und alle notwendigen Maßnahmen effektiv umzusetzen. Gerne beraten wir Sie in allen Fragen des Informationssicherheits- wie auch des IT-Rechts, um Ihr Unternehmen optimal auf die vielfältigen aktuellen und zukünftigen Rechtsänderungen vorzubereiten.
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Weitere Experten zum Thema
Weitere Neuigkeiten
28.11.2024
BGH zu Scraping: Was Unternehmen jetzt wissen müssen
18.11.2024
BGH-Urteil zur Haftung von Online-Marktplätzen: Betreiber haften wie Sharehoster
04.11.2024