Keywords
NIS 2, Cybersicherheit, Compliance, Infrastruktur, EU-Vorschriften, Risikomanagement, kleine Unternehmen, Geschäftsleitung, Verantwortlichkeiten, Meldepflichten, Deutschland
Zusammenfassung
Klaus Mochalski und Rechtsanwalt sowie Partner Thomas Schmeding (BBH Consulting) klären die wichtigsten Fragen zu NIS-2: Wer ist durch die neuen Schwellenwerte betroffen? Welche Haftungsrisiken kommen auf die Geschäftsleitung zu und wie gelingt die Umsetzung? Ein Pflicht-Update zur Cybersicherheit.
Kernargumente
Durch die NIS-2-Regulierung sind nicht mehr nur klassische Großanlagen der kritischen Infrastruktur betroffen. Etwa 30.000 Unternehmen aus Sektoren wie Energie, Wasser, Telekommunikation, Gesundheit, Chemie und Lebensmittel fallen nun in den Anwendungsbereich, sobald sie die Schwelle von 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz/Bilanzsumme erreichen.
Die allgemeine Haftung für Geschäftsführer bleibt zwar bestehen, wurde aber stark konkretisiert. Die Geschäftsleitung ist nun explizit gesetzlich verpflichtet, Risikomanagement-Maßnahmen umzusetzen, zu überwachen und sich selbst im Bereich Cybersicherheit schulen zu lassen.
Unternehmen müssen in der Lage sein, Cyberangriffe in einem dreistufigen Rhythmus zu melden: Eine Erstmeldung muss innerhalb von 24 Stunden erfolgen, gefolgt von einer Anschlussmeldung nach 72 Stunden und einer Abschlussmeldung spätestens nach einem Monat.
Obwohl die Umsetzung der geforderten Cybersicherheits- und physischen Schutzmaßnahmen erhebliche Kosten verursacht, die oft auf Kunden umgelegt werden müssen, sind diese Ausgaben weitaus geringer als die potenziellen Schäden und Liquiditätsengpässe durch einen erfolgreichen Cyberangriff.
Unternehmen sollten sehr sorgfältig prüfen, ob sie tatsächlich unter die NIS-2-Richtlinie fallen. Da die Regulierung einen enormen Compliance-Aufwand mit sich bringt, wird von einer freiwilligen Registrierung abgeraten, wenn man rechtlich nicht dazu verpflichtet ist.
Deutschland hat die Vorgaben der EU-Richtlinie ohne große nationale Sonderwege oder Verschärfungen fast 1:1 in nationales Recht umgesetzt.
Gut gesagt
Klaus Mochalski: „Die NIS 2 [ist] eher eine Erweiterung von Regulierungen, die es in anderen Bereichen, insbesondere für betreiberkritische Infrastruktur nach der rechtlichen Definition schon viel länger gibt.“
Thomas Schmeding: „Was aber neu ist und deswegen spricht man auch davon, dass jetzt mittlerweile 30.000 Unternehmen betroffen sind, übergreifend [...] ist, dass man sich jetzt unternehmensbezogene Schwellenwerte anschaut. [...] Da reicht es dann schon aus, dass ich 50 Mitarbeiter beschäftige oder dass ich 10 Millionen Jahresumsatz oder 10 Millionen Bilanzsumme habe, dann bin ich schon betroffen.“
Klaus Mochalski: “Die Kosten, die treten ja so oder so auf. [...] wenn ich Prävention betreibe, verteile ich die Kosten gleichmäßig und die fallen halt vorab an oder es ist dann eben wie in Berlin, es kommt zu einem Vorfall und da sind natürlich auch Kosten aufgetreten und da würde ich mal behaupten, dass die Kosten den Schaden in Berlin zu beheben vermutlich viel höher waren als alles, was man da hätte in 5 Jahren Prävention ausgeben können.”
Thomas Schmeding: „Also ich [als Geschäftsführer] hafte in meinem Unternehmen nicht anders als bisher, aber ich habe eine konkrete Pflicht in mein Buch geschrieben bekommen [...] konkrete Umsetzungsmaßnahmen zu ergreifen und das muss ich jetzt sofort tun. [...] und wenn ich mich jetzt nicht drum kümmere und dem Unternehmen ein Schaden passiert, dann bin ich dann potenziell auch haftbar als Geschäftsleitung.“
Klaus Mochalski: „Da war meine These, dass es hier eigentlich eine Konkretisierung von Regelungen ist und auch von Haftung, die eigentlich vorher schon immer existierte. Und jetzt wird's aber konkret gemacht, was eigentlich den Betroffenen eher hilft, weil, sie kriegen jetzt einen konkreten Rahmen.“
Thomas Schmeding: „Also ich muss tatsächlich binnen 24 Stunden ein Cybersicherheitsvorfall melden, ja, der Behörde. Binnen 72 Stunden muss ich eine Anschlussmeldung machen. [...] und spätestens einen Monat nach Bestätigung der Erstmeldung muss ich noch eine Abschlussmeldung machen.“
Klaus Mochalski: “Man [sollte] IT-Sicherheit gar nicht so sehr als neues Risiko sehen sollte, sondern das ist ein unternehmerisches Risiko wie viele andere auch wie z.B. das Brandrisiko oder das Einbruchsrisiko oder ein Stromausfallrisiko.“
Thomas Schmeding: „Ja, also was die [EU-]Richtlinie vorgibt, wird weitestgehend in Deutschland auch so umgesetzt. [...] Das heißt, also ich kann zumindest keine großartigen Verschärfungen erkennen.“
Kapitel
00:00 Begrüßung und Vorstellung
02:06 Der holprige Weg zur NIS-2-Umsetzung
05:14 Wer ist betroffen? Neue Sektoren und Schwellenwerte
09:21 Präventions- versus Reaktionskosten
14:17 Pflichten und persönliche Haftung der Geschäftsleitung
18:29 Die strengen Fristen im neuen Meldewesen
20:50 Deutsche Umsetzung im EU-Vergleich
23:43 Fazit und Warnung vor freiwilliger Registrierung
