Bundestag diskutiert über NIS2UmsuCG – Umsetzung der NIS2-Richtlinie naht

Unter dem NIS2UmsuCG werden sich betroffene Unternehmen mit unterschiedlichen Maßnahmen auseinandersetzen müssen. In diesem Zusammenhang ist festzuhalten, dass das NIS2UmsuCG zwar, wie die NIS2-Richtlinie, zwischen besonders wichtigen und wichtigen Einrichtungen entscheidet (in der NIS2-Richtlinie als „wesentlich“ und „wichtig“ bezeichnet), die einzelnen Maßnahmen unterscheiden sich jedoch fast nicht. Unterschiede ergeben sich dahingegen insbesondere bei der Aufsicht und den möglichen Bußgeldern.

Besonders nennenswerte Regelungen unter dem NIS2UmsuCG sind dabei vor allem die Schulungspflicht für Geschäftsleitung und deren persönliche Haftung, das Durchführen einer umfassenden Risikoanalyse sowie die neuen Meldepflichten für erhebliche Sicherheitsvorfälle:

• Schulungspflicht für Geschäftsleitung und Haftung:
  Unter dem NIS2UmsuCG werden die Geschäftsleitungen unmittelbar selbst in die Pflicht genommen: Sie sind nicht nur selbst dafür verantwortlich, dass die erforderlichen Maßnahmen umgesetzt und eingehalten werden, sie können auch nach den allgemeinen Regeln persönlich für Schäden haftbar gemacht werden, die durch eine schuldhafte Verletzung ihrer Pflichten verursacht wurden. Dies dürfte insbesondere z.B. Gewinnausfälle betreffen, die durch einen erheblichen Sicherheitsvorfall bei der betroffenen Einrichtung verursacht wurden. Um auch die Geschäftsleitungen für Cybersicherheit zu sensibilisieren, müssen sie darüber hinaus auch an regelmäßigen Schulungen teilnehmen.
• Risikoanalyse:
  Betroffene Unternehmen müssen angemessene technische und organisatorische Maßnahmen ergreifen, die insbesondere die zehn aufgelisteten Bereiche des § 30 Abs. 2 BSIG-RegE umfassen. Dies wird eine umfassende Risikobewertung für die jeweilige Organisation erfordern, bei dem auch ermittelt werden muss, welche Risikoexposition überhaupt besteht. Besonders hervorzuheben ist in diesem Zusammenhang auch das Erfordernis, dass betroffene Unternehmen, potenzielle Risiken in ihrer Lieferkette ermitteln, analysieren und adressieren müssen. Dies dürfte im Ergebnis auf die Durchführung von Vendor Assessments hinauslaufen. Auch Vertragsanpassungen und -ergänzungen und sogar der Austausch von Zulieferern können in diesem Rahmen erforderlich werden, wenn betroffene Unternehmen keinen Compliance-Verstoß riskieren wollen.
• Meldepflichten:
  Tritt ein erheblicher Sicherheitsvorfall bei einer betroffenen Einrichtung auf, sind diese unter dem NIS2UmsuCG zur Meldung verpflichtet. Ähnliche Meldepflichten sind bereits aus der DSGVO bekannt, gehen aber unter dem NIS2UmsuCG noch weiter: Eine frühe Erstmeldung muss nämlich bereits spätestens 24 Stunden nach Kenntniserlangung vom Vorfall erfolgen. Die engmaschigen und auch durchaus umfassende Meldepflichten werden betroffenen Unternehmen vor allem die Implementierung von Erkennungs-, Melde- und Aufarbeitungsprozessen verlangen.
  

Daneben sieht das NIS2UmsuCG aber noch weitere Pflichten vor, wie bspw. die Registrierung betroffener Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik. Für bestimmte Einrichtungen gelten daraus noch besondere Maßnahmen. Unternehmen sollten sich daher frühzeitig mit ihrer Betroffenheit und dem einschlägigen Pflichtenkatalog auseinandersetzen.

Warum sich Unternehmen frühzeitig mit dem NIS2UmsuCG beschäftigen sollten

Der aktuelle Regierungsentwurf sieht keine Übergangsfristen für Unternehmen vor. Demnach gelten sämtliche Regelungen des NIS2UmsuCG mit Inkrafttreten. Damit die dargestellten Maßnahmen für die jeweilige Organisation passend und rechtzeitig umgesetzt werden können, ist ein strukturierter Projektansatz erforderlich, der ausreichend Zeit für die Durchführung der einzelnen Schritte lässt.

Haben Sie Fragen oder möchten Sie sich zu Ihrer Betroffenheit unter dem NIS2UmsuCG oder dem Pflichtenkatalog beraten lassen? Dann sprechen Sie uns gerne an!