NIS2 & Co.: Auch KMU müssen gesetzliche Vorgaben zur IT-Sicherheit umsetzen
Es vergeht kaum eine Woche, in der nicht eine neue Meldung über einen Verschlüsselungstrojaner, einen Server-Einbruch oder über ein Datenleck erscheint. Es trifft längst nicht mehr nur die Großen; die Gefahr ist schon längst im KMU-Bereich angekommen.
Kein Wunder: Die Digitalisierung eröffnet nicht nur neue Chancen durch Effizienzgewinne etc., sondern auch neue Bedrohungen. Die gute Nachricht ist, dass es entsprechende gesetzliche Regelungen gibt bzw. demnächst noch geben wird. Die schlechte Nachricht ist, dass es so viele sind, sodass man hier kaum noch den Überblick behalten kann.
Bei der Umsetzung der Schutzziele in der Informationssicherheit wird beispielsweise NIS2 eine wichtige Rolle spielen. Die Abkürzung NIS2 steht für “The Network and Information Security (NIS) Directive”. Die NIS2-Richtlinie muss bis zum 17. Oktober 2024 in deutsches Recht umgesetzt werden. Dazu dient das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG). Dieses wird voraussichtlich an die Stelle des IT-Sicherheitsgesetzes treten.
Daneben müssen weitere EU-Richtlinien und -Verordnungen in vielen – teilweise auch eher kleinen Unternehmen – umgesetzt werden, was zu einem nicht unerheblichen Aufwand führen kann.
Ein Überblick über die wichtigsten Regelungen des IT-Sicherheitsrechts
NIS2 taucht immer häufiger in den Medien auf, ebenso die kryptische Abkürzung „NIS2UmsuCG“. CRA hat man vielleicht auch schonmal gehört und DORA ist zumindest im Finanzsektor bekannt. Der nachfolgenden Übersicht können Sie die zentralen Regelungen und Komponenten des IT-Sicherheitsrechts auf EU-Ebene und in Deutschland entnehmen. In diesen sind zumindest auch Sicherheitsvorgaben für bestimmte Bereiche enthalten. Nicht alle Vorschriften sind für jede Branche bzw. jedes Unternehmen gleichermaßen einschlägig, manche sehen auch spezielle Ausnahmen für kleine und Kleinstunternehmen vor.
NIS2 Richtlinie
- EU-Richtlinie
- Regelungen zur Cybersicherheit in kritischen Infrastrukturen (Ergänzung zu CER)
- seit 16.01.2023 in Kraft, muss bis zum 17.10.2024 in nationales Recht umgesetzt werden
Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit (NIS2UmsuCG)
- Dt. Gesetz
- dt. Umsetzungsgesetz zur NIS2 Richtlinie
- aktueller Referentenentwurf vom 07.05.2024
Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience, sog. CER-Richtlinie)
- EU-Richtlinie
- Regelungen zur physischen Sicherheit kritischer Infrastrukturen (Ergänzung zu NIS2)
- seit 16.01.2023 in Kraft, muss bis zum 17.10.2014 in nationales Recht umgesetzt werden
KRITIS-Dachgesetz
- Dt. Gesetz
- dt. Umsetzungsgesetz zur CER-Richtlinie
- soll am 18.10.2024 in Kraft treten, einige der verbindlichen Maßnahmen sollen erst am 17.07.2026 in Kraft treten
Digital Operational Resilience Act (DORA)
- EU-Verordnung
- Regelungen zur Harmonisierung von Cybersecurity sowie resilienten Infrastrukturen auf dem EU-Finanzmarkt
- seit 17.01.2023 in Kraft, muss ab dem 17.01.2025 angewendet werden
Cyber Resilience Act (CRA)
- EU-Verordnung
- Regelungen zur Cybersicherheit von Produkten mit digitalen Elementen (Hard- und Software)
- Mitte März 2024 vom EU-Parlament beschlossen, muss noch vom EU-Rat verabschiedet werden
Datenschutz-Grundverordnung (DSGVO)
- EU-Verordnung
- Regelungen zum Schutz personenbezogener Daten
- seit 24.05.2016 in Kraft, seit 25.05.2018 anwendbar
Bundesdatenschutzgesetz (BDSG) / Landesdatenschutzgesetze
- Dt. Gesetz
- ergänzende dt. Regelungen zum Schutz personenbezogener Daten auf Bundes- bzw. Landesebene
- in Kraft seit 25.05.2018
Cybersecurity Act
- EU-Verordnung
- Regelungen über die europäische Cybersicherheitsagentur ENISA sowie die Einführung eines einheitlichen europäischen Zertifizierungsrahmens für IT- & Kommunikations-Produkte, -Dienstleistungen und
-Prozesse - in Kraft seit 27.06.2019
KI-Verordnung (AI Act)
- EU-Verordnung
- Regelungen über die Entwicklung, den Vertrieb und das Anbieten von Produkten mit Künstlicher Intelligenz
- am 13.03.2024 vom EU-Parlament verabschiedet, wird voraussichtlich im 2. Quartal 2024 in Kraft treten und eine Übergangsfrist von 2 Jahren haben, sodass sie etwa ab Mitte 2026 anwendbar sein wird
KI-Haftungsrichtlinie
- EU-Richtlinie
- Regelungen über die Haftung für Schäden durch oder im Zusammenhang mit Künstlicher Intelligenz
- befindet sich noch im Gesetzgebungsverfahren, es gibt noch keine finale Fassung, sodass ein Inkrafttreten noch nicht absehbar ist; anschließend muss die Richtlinie dann noch in nationales Recht umgesetzt werden
European Health Data Space (EHDS)
- EU-Verordnung
- Regelungen über einen europäischen Gesundheitsdatenraum
- noch im Gesetzgebungsverfahren, 1. Entwurf im Mai 2022
Gesundheitsdatennutzungsgesetz (GDNG)
- Dt. Gesetz
- Regelungen zur sicheren Nutzung von Gesundheitsdaten für die Forschung
- in Kraft seit 26.03.2024
eIDAS 2 Verordnung
- EU-Verordnung
- Regelungen über elektronische Identifizierung und Vertrauensdienste (z.B. digitale Signaturen, „digitale Brieftasche“)
- Einigung im Trilog-Verfahren am 08.11.2023, Zustimmung des EU-Parlaments im Februar 2024, Inkrafttreten voraussichtlich ab Mai 2024
Data Act (DA)
- EU-Verordnung
- Regelungen zur Schaffung eines EU-Datenbinnenmarktes (insbesondere Datenzugangs- und
-weitergaberegelungen) - in Kraft seit 11.01.2024
Data Governance Act (DGA)
- Regelungen zur Schaffung eines europäischen Datenaustauschmodells, ergänzt den DA
- in Kraft seit 23.06.2022, anzuwenden seit 24.09.2023
Digital Services Act (DSA)
- EU-Verordnung
- Regelungen über Haftungs- und Sicherheitsvorschriften für digitale Plattformen, Dienste und Produkte, ergänzt den DMA
- in Kraft seit 16.11.2022, voll anwendbar seit 17.02.2024
Digital Markets Act (DMA)
- EU-Verordnung
- Regelungen über Sorgfaltspflichten für Vermittlungsdienste / Online-Plattformen (insbesondere für große „Gatekeeper“), ergänzt den DSA
- in Kraft seit 01.11.2022, voll anwendbar seit 02.05.2024
Digitale-Inhalte-Richtlinie (DIRL)
- EU-Richtlinie
- Regelungen über Verträge über digitale Inhalte und digitale Dienstleistungen, ergänzt die WKRL
- seit Mitte 2019 in Kraft, in nationales Recht umgesetzt seit 01.07.2021, anwendbar seit 01.01.2022
Warenkauf-Richtlinie (WKRL)
- EU-Richtlinie
- Regelungen über Warenkaufverträge (u.a. mit dem Recht auf Updates), ergänzt die DIRL
- seit Mitte 2019 in Kraft, in nationales Recht umgesetzt seit 01.07.2021, anwendbar seit 01.01.2022
Chips Act
- EU-Verordnung
- Regelungen über die Stärkung des Halbleiterökosystems in der EU, die Gewährleistung der Widerstandsfähigkeit der Lieferketten und die Verringerung externer Abhängigkeiten in Bezug auf Computerchips
- in Kraft seit 21.09.2023
Maschinenverordnung
- EU-Verordnung
- Regelungen über die Sicherheit von Maschinen
- in Kraft seit 19.07.2023, teilweise anwendbar seit 20.01.2027, voll anwendbar ab Juli 2025
Funkanlagen-Richtlinie (Radio Equipment Directive, kurz: RED)
- EU-Richtlinie
- Regelungen zum Schutz von Funkanlagen und IoT-Geräten (vernetzte Haushaltsgeräte, z.B. Kühlschrank, Klimaanlage, Heizung …)
- in dt. Recht umgesetzt seit 27.06.2017 (Funkanlagengesetz); Erweiterung / Aktualisierung der RED im Jahr 2024 geplant
IT-Sicherheitsgesetz 2.0
- Dt. Gesetz
- Regelungen zur Sicherheit in Kritischen Infrastrukturen (KRITIS)
- in Kraft seit Mai 2021 (erster inoffizieller Entwurf eines geplanten IT-Sicherheitsgesetzes 3.0 im Mai 2023)
Geschäftsgeheimnisgesetz (GeschGehG)
- Dt. Gesetz
- Regelungen zur Sicherheit von Geschäftsgeheimnissen
- in Kraft seit 26.04.2019
Diese Übersicht kann als Ausgangspunkt dienen, um ermitteln zu können, von welchen Regelungen Sie betroffen sind bzw. wann Sie welche Regelungen umsetzen müssen. Aber: Nur weil Ihr Unternehmen zum Beispiel nicht unter die NIS2-Richtlinie fällt, bedeutet das nicht, dass Sie sich keine Gedanken zum Thema Informations- bzw. IT-Sicherheitsrecht machen sollten. Das Telekommunikationsgesetz (TKG) liefert zusätzlich einen Katalog an Sicherheitsanforderungen zum Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten. Zudem empfiehlt es sich, IT-Sicherheits-Berater für Ihr Unternehmen zu engagieren und IT-Sicherheitsmaßnahmen vorzubereiten, die vor drohenden Sicherheitsmängeln schützen.
Info
Geltungsrahmen der EU-Verordnungen und -Richtlinien
EU-Verordnungen, wie etwa die DSGVO, gelten unmittelbar in allen EU-Mitgliedsstaaten. EU-Richtlinien enthalten hingegen nur Mindest-Rahmenvorgaben, die dann jeweils noch in das nationale Recht der Mitgliedsstaaten umgesetzt werden müssen.
Sicherheit bei der Datenverarbeitung
Die Datenschutzgrundverordnung und die darin enthaltenen Pflichten für verantwortliche Stellen sollten inzwischen jedem Unternehmen ein Begriff sein. Das gleiche gilt für die Einhaltung des Geschäftsgeheimnisgesetzes (GeschGehG). Beide gelten für verschiedene Arten von Daten, nämlich solche mit und solche ohne Personenbezug. Aber sowohl DSGVO als auch GeschGehG fordert die Umsetzung von technischen und organisatorischen Maßnahmen, um die mit der Datenverarbeitung verbundenen Risiken zu minimieren. Zudem verpflichtet die DSGVO u.a. auch dazu, bestimmte Verletzungen des Schutzes personenbezogener Daten (Datenpannen) der zuständigen Datenschutzaufsichtsbehörde und ggf. auch den von der Datenpanne betroffenen Personen zu melden.
Tipp
Meldepflicht im IT-Sicherheitsrecht: Störungen der Funktionsweise kritischer Infrastrukturen
Für den KRITIS-Bereich sieht § 8b Abs. 4 des BSI-Gesetzes (Bundesamt für Sicherheit in der Informationstechnik) die Pflicht zur Meldung von (erheblichen) Störungen folgender Bereiche vor:
- Verfügbarkeit, Integrität und Authentizität
- Vertraulichkeit von informationstechnischen Systemen, Komponenten oder Prozessen
Die Pflicht greift, falls die Störungen zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit, der von ihnen betriebenen kritischen Infrastrukturen geführt haben oder führen können.
Regeln für mehr Informationssicherheit im KRITIS-Bereich
Die NIS2 Richtlinie und die CER-Richtlinie sowie die beiden entsprechenden deutschen Umsetzungsgesetze (NIS2UmsuCG und KRITIS-Dachgesetz) haben zum Ziel, die Widerstandskraft der jeweils erfassten Einrichtungen zu stärken. Dies bezieht sich sowohl auf den Online- als auch den Offline-Bereich kritischer Infrastrukturen (KRITIS). Durch diese beiden Richtlinien wird der KRITIS-Bereich stark erweitert, sodass nur Klein- und Kleinstunternehmen ausgenommen sein sollen. Diese werden durch die Mitarbeiteranzahl definiert, die 50 bzw. zehn unterschreiten und geringere Umsätze als 10 Mio. bzw. 2 Mio. verzeichnen.
Alle größeren Unternehmen, die in bestimmten Bereichen tätig sind (u.a. Energie, Transport, Gesundheit, Finanzmarkt, Chemie, Lebensmittel, Forschung oder auch digitale Dienste), fallen regelmäßig in den Anwendungsbereich von NIS2 und CER. Beachten Sie daher, welche Maßnahmen zur IT-Sicherheit Sie in Ihrem Unternehmen umsetzen müssen.
Praxishinweis: Verpflichtungen für KMU durch NIS2 und CER
Die von NIS2 bzw. CER verpflichteten Institutionen haben verschiedene „Hausaufgaben“ zu erledigen, um den Vorgaben des IT-Sicherheitsrechts zu entsprechen. Dazu zählen u.a. das Erstellen von Richtlinien für Risiken und Informationssicherheit sowie Maßnahmen zur Prävention, Detektion und Bewältigung von Cybersecurity-Vorfällen. Hinzu kommt der Betrieb eines Business Continuity Managements (BCM) und die Beachtung von Vorgaben für Kryptographie bzw. Verschlüsselung. Außerdem fällt der Einsatz gesicherter Notfall-Kommunikations-Systeme oder auch die Schulung und Sensibilisierung von Beschäftigten an.
Spezielle Regeln für einzelne Branchen
- Der Digital Operational Resilience Act (DORA) regelt Vorgaben für Sicherheitsmaßnahmen speziell für den Finanzsektor. Hinzu kommen noch spezifische Vorgaben, wie etwa die Mindestanforderungen an das Risikomanagement (MaRisk).
- Das Trusted Information Security Assessment Exchange Verfahren (TISAX) gilt hingegen in der Automobilbranche und enthält Prüf- und Austauschverfahren für die Informationssicherheit.
- Im Gesundheitssektor regeln zukünftig der europäische Gesundheitsdatenraum (EHDS) und das Gesundheitsdatennutzungsgesetz (GDNG) den sicheren Umgang mit medizinischen Daten, beispielsweise durch Einführung der elektronischen Patientenakte (ePA).
Tipp
BSI IT-Grundschutz umsetzen & ISO-270001-Zertifizierung nutzen
Allgemeine Vorgaben enthält beispielsweise die ISO-Norm 270001, die als internationale Norm Vorgaben für Informationssicherheits-Managementsysteme (ISMS) enthält. Diese ISO-Norm wird mit Blick auf NIS2 noch mehr an Bedeutung gewinnen, da durch eine ISO-270001-Zertifizierung ein Großteil der NIS2-Vorgaben realisiert werden können.
Das Bundesamt für Informationssicherheit bietet Unternehmen Unterstützung bei der Implementierung. Der IT-Grundschutz des BSI dient als fachliche Basis zum Aufbau eines ISMS und damit zur ISO 270001-Zertifizierung. Durch die Zertifizierung belegen Sie, dass Ihre Umsetzung von IT-Sicherheitskonzepten den international anerkannten Standards entspricht und schaffen ein vertrauensvolles Verhältnis zu Ihren Stakeholdern. Die Zertifizierung wird hierbei durch einen externen Auditor durchgeführt. Hier finden Sie mehr Informationen sowie verständliche und praktische Checklisten zum BSI IT-Grundschutz und zur Zertifizierung. So verhelfen Sie Ihrem Unternehmen intern, die Schutzziele der Informationssicherheit erfolgreich umzusetzen.
Regulierung von Künstlicher Intelligenz (KI)
ChatGPT, Midjourney, Stable Diffusion, Gemini, Llama & Co. – all diese KI-Tools verzeichnen seit ihrer Verfügbarkeit auf dem Massenmarkt stetig steigende Nutzerzahlen. Sowohl die KI-Verordnung als auch die KI-Haftungsrichtlinie haben zum Ziel, den Umgang mit Künstlicher Intelligenz zu regulieren. Zudem sollen so Haftungsrisiken minimiert werden.
Die KI-Verordnung richtet sich primär an Hersteller, Importeure, Händler und Anbieter von KI-Systemen. Sie unterscheidet verschiedene Risikoklassen (unannehmbare Risiken/verbotene KI, hohe Risiken, begrenzte Risiken und minimale Risiken). Je höher das Risiko, desto mehr Pflichten treffen die jeweiligen Akteure. Die KI-Haftungsrichtlinie greift zeitlich später, nämlich bei der Frage der Haftung für Schäden, die durch den Einsatz oder bei der Nutzung von KI entstanden sind. Die Richtlinie sieht zwei immens wichtige Aspekte vor:
- Beweiserleichterung durch Einführung einer Kausalitätsvermutung: Es wird ein direkter Zusammenhang zwischen der Verletzung einer Sorgfaltspflicht und dem entstandenen Schaden vermutet. Dieser kann jedoch vom KI-Hersteller bzw. -Betreiber widerlegt werden.
- Verbesserter Zugang zu Beweismitteln für Opfer von Hochrisiko-KI-Systemen: Dadurch besteht ein gerichtlich durchsetzbarer Anspruch auf Offenlegung entsprechender Informationen.
Sicherheit von digitalen Produkten
Die Digitale-Inhalte-Richtlinie (DIRL) und auch die Warenkauf-Richtlinie (WKRL) haben zum 01.01.2022 ins deutsche Recht Einzug gehalten. Sie enthalten u.a. Regelungen zur Modernisierung des Gewährleistungsrechts sowie das Recht auf Updates. Dadurch wurde der Verbraucherschutz gestärkt und insbesondere der Umgang mit digitalen Produkten (digitale Inhalte & digitale Dienstleistungen) im Gesetz verankert. Beide finden im Rahmen des IT-Sicherheitsrechts Anwendung.
Info
Recht auf Updates und Regelungen zur Cybersicherheit: Sind Verkäufer oder Hersteller in der Pflicht?
Das Recht auf Updates können beispielsweise Käufer von Smartphones gegenüber dem Verkäufer durchsetzen. Dieser ist in aller Regel jedoch nicht der Hersteller des Gerätes und hat damit keinen Einfluss auf die Bereitstellung von Updates. Dennoch muss er als Vertragspartner des Käufers im Zweifel dafür sorgen, dass Updates korrekt und für den Zeitraum der „gewöhnlichen Nutzung“ bereitgestellt werden.
Der Cyber Resilience Act (CRA) enthält dagegen Regelungen zur Cybersicherheit von Hard- und Software-Produkten mit digitalen Elementen (Handys, smarte Heizungen etc.). Somit nimmt er also eher die Hersteller/Anbieter von derartigen Produkten in die Pflicht.
Sicherheit von Maschinen
Die Maschinenverordnung enthält Anforderungen an die Konstruktion und den Bau von Maschinenprodukten. Darüber hinaus sieht sie Regeln für den freien Warenverkehr von Maschinenprodukten in der Europäischen Union vor.
Der Chips Act sieht hingegen Maßnahmen vor, um etwaigen Versorgungsschwierigkeiten bei Halbleitern entgegenzuwirken. Er soll die Wettbewerbsfähigkeit und Widerstandsfähigkeit der EU im Bereich Halbleitertechnologie und -anwendung stärken. Vor dem Hintergrund der Notwendigkeit von ausreichender Rechenleistung und genügend Speicherplatz für KI-Anwendungen kommt sowohl der Maschinenverordnung als auch dem Chips Act eine wichtige Bedeutung in Bezug auf das IT-Sicherheitsrecht zu.