Die neue Ära der Cybersicherheit: Was die Novellierung des BSIG für Unternehmen bedeutet
Die zunehmende Digitalisierung und die Vernetzungen der Wirtschaft innerhalb Deutschlands und der Europäischen Union haben die Anfälligkeit digitaler Infrastrukturen für externe, oft nicht steuerbare Cybersicherheitsrisiken erhöht. Der europäische Gesetzgeber hat auf diese Entwicklungen mit der NIS-2-Richtlinie, die ein hohes und einheitliches Cybersicherheitsniveau in der EU sicherstellen soll, reagiert. Die voraussichtlich im Jahr 2024 erfolgende Umsetzung der NIS-2-Richtlinie wird zu einer Novellierung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) führen. Dieser Beitrag greift den aktuellen Gesetzesentwurf (BSIG-E) (Bearbeitungsstand: 07.05.2024) auf und befasst sich mit den wesentlichen Neuerungen des BSIG.
Erweiterter Anwendungsbereich des BSIG
Waren bisher ca. 2.000 Unternehmen von den Cybersicherheitsvorgaben des BSIG betroffen, so werden dies nach der Novellierung des BSIG knapp 30.000 Unternehmen sein. Denn die Cybersicherheitsvorgaben des BSIG-E gelten nicht mehr nur für Kritische Infrastrukturen (KRITIS), sondern nunmehr für „Betreiber kritischer Anlagen“ (dieser Begriff ersetzt die KRITIS) und auch für „besonders wichtige Einrichtungen“ sowie für „wichtige Einrichtungen“.
Zu den besonders wichtigen Einrichtungen zählen nach § 28 Abs. 1 BSIG-E neben den oben genannten Betreibern kritischer Anlagen insbesondere Großunternehmen, die den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Wasser (Trinkwasserversorgung und Abwasserbeseitigung), Informationstechnik und Telekommunikation oder Weltraum zuzuordnen sind. Nach § 28 Abs. 1 Nr. 4 BSIG-E sind Großunternehmen solche Unternehmen, die mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen.
In Abgrenzung dazu gelten nach § 28 Abs. 2 BSIG-E insbesondere mittlere Unternehmen in den oben genannten Sektoren sowie in den Sektoren Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste und Forschung als wichtige Einrichtungen. Mittlere Unternehmen sind nach § 28 Abs. 2 Nr. 3 BSIG-E solche Unternehmen, die mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über zehn Millionen Euro aufweisen.
Pflichten nach dem BSIG-E
Von den Pflichten, die nach dem BSIG-E auf besonders wichtige Einrichtungen und wichtige Einrichtungen zukommen, werden die wichtigsten im Folgenden kurz skizziert:
Risikomanagementmaßnahmen im Bereich der Cybersicherheit
Die wesentliche Pflicht nach dem BSIG-E findet sich in § 30 BSIG-E, wonach ein Risikomanagement zur Vermeidung IT-bezogener Störungen vorgehalten werden muss. Demnach müssen gemäß § 30 Abs. 1 BSIG-E besonders wichtige Einrichtungen und wichtige Einrichtungen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (TOM) ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. § 30 Abs. 2 BSIG-E nennt in diesem Zusammenhang den rechtlich verbindlichen Mindestumfang der TOM, der von den betroffenen Unternehmen einzuhalten ist. Nach dem nicht abschließenden Katalog dieser Vorschrift müssen die Maßnahmen etwa die Sicherheit der Lieferkette, Sicherheitsmaßnahmen bei Erwerb von informationstechnischen Systemen sowie die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung umfassen.
Meldepflichten
Der neue § 32 BSIG-E sieht ein mehrstufiges Meldeverfahren bei erheblichen Sicherheitsvorfällen i. S. d. § 2 Abs. 1 Nr. 10 BSIG-E vor. Gemäß § 32 Abs. 1 BSIG-E müssen besonders wichtige Einrichtungen und wichtige Einrichtungen bei einem erheblichen Sicherheitsvorfall nach Kenntnis hiervon unverzüglich eine frühe Erstmeldung (spätestens innerhalb von 24 Stunden nach Kenntniserlangung) und eine bestätigende Erstmeldung (spätestens innerhalb von 72 Stunden nach Kenntniserlangung) mit dem in § 32 Abs. 1 Nr. 1 bzw. 2 BSIG-E bestimmten Inhalt abgeben. Spätestens einen Monat nach der bestätigenden Erstmeldung muss eine Abschlussmeldung mit dem in § 32 Abs. 1 Nr. 4 BSIG-E bestimmten Inhalt übermittelt werden, es sei denn, dass der Sicherheitsvorfall zu diesem Zeitpunkt noch andauert, dann ist vorher eine Fortschrittsmeldung vorzulegen. Gegebenenfalls ist eine Zwischenmeldung erforderlich.
Registrierungspflicht
Nach § 33 BSIG-E müssen sich besonders wichtige und wichtige Einrichtungen beim BSI registrieren und die in der Vorschrift genannten Angaben übermitteln. Bei unterlassener Registrierung kann das BSI diese selbst vornehmen und Bußgelder verhängen.
Auswirkungen auf die Praxis
Es ist zu erwarten, dass viele der oben genannten Pflichten in (Dienstleistungs-)Verträgen zwischen den jeweiligen betroffenen Einrichtungen und anderen Unternehmen abgebildet werden, um die effektive Einhaltung dieser Pflichten sicherzustellen. So müssten sich betroffene Einrichtungen von ihren Lieferanten beispielsweise vertraglich die Einhaltung bestimmter Cybersicherheitsanforderungen zusichern lassen, um die nach § 30 Abs. 2 BSIG-E geforderte Sicherheit der Lieferkette zu gewährleisten. Altverträge betroffener Einrichtungen werden entsprechend überprüft und angepasst werden müssen.
Sanktionsvorschriften
Bei Verstößen gegen die vorgenannten Pflichten drohen nach § 61 BSIG-E empfindliche Bußgelder. Die maximale Höhe des Bußgeldrahmens beträgt für besonders wichtige Einrichtungen zehn Millionen Euro oder 2 % des weltweit im Geschäftsjahr vor dem Verstoß getätigten Jahresumsatzes und für wichtige Einrichtungen sieben Millionen Euro oder 1,4 % des weltweit im Geschäftsjahr vor dem Verstoß getätigten Jahresumsatzes.
Fazit
Die Novellierung des BSIG bedeutet für eine Vielzahl von Unternehmen, die bisher nicht gesetzlich zur Einhaltung der Cybersicherheitsanforderungen nach dem BSIG verpflichtet waren, einen erheblichen organisatorischen und finanziellen Aufwand, um das geforderte Cybersicherheitsniveau zu implementieren. Die Umsetzung der neuen BSIG-Anforderungen in diesen Unternehmen sollte gewissenhaft und zügig erfolgen, um drohende empfindliche Bußgelder zu vermeiden.
Prof. Dr. Heralt Hug
|
Alexander Tharan
|
|
|
||
Link zur Homepage: cms.law |