NIS-2-Umsetzungsgesetz und KRITIS-Dachgesetz:
Folgen für Compliance im Unternehmen
Dieser Blogbeitrag beantwortet die Frage, welche Herausforderungen sich für Ihr Unternehmen im Bereich Compliance durch das NIS-2-Umsetzungsgesetz (NIS-2-UmsetzungsG) und das KRITIS-DachG ergeben und wie Sie sich darauf vorbereiten können.
Um was geht es?
Das deutsche IT-Sicherheitsrecht steht vor grundlegenden Veränderungen durch die bevorstehende Umsetzung der NIS-2-Richtlinie und des KRITIS-Dachgesetz (KRITS-DachG).
I. Nationale rechtliche Grundlagen
Deutschland verzeichnet regelmäßig Cyber-Vorfälle bei Unternehmen und öffentlichen Einrichtungen, insbesondere im Bereich kritischer Infrastrukturen. Der aktuelle Gesetzgebungsprozess für NIS-2-UmsetzungsG und KRITIS-DachG geht Hand in Hand und verfolgt einen umfassenden Ansatz zur Bewältigung von Risiken, die – nur teilweise – etwas mit Cybersicherheit zu tun haben.
II. Neue rechtliche Anforderungen
Neben den erwähnten Grundlagen ist das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) zu beachten. Dies ist das Gesetz, welches das Handeln des Bundesamtes für Sicherheit in der Informationstechnik (BSI) regelt. Dadurch wirkt es sich mittelbar auf Compliancefragen aus, da es die genannten rechtlichen Grundlagen überwacht. Das BSI fungiert entsprechend einer Art Aufsichtsbehörde und setzt die Regelungen des NIS-2-UmsetzungsG und des KRITIS-DachG um bzw. wendet sie an.
Das künftige BSIG erstreckt sich auf verschiedene Aspekte, wie kritische Infrastrukturen, Unternehmen im besonderen öffentlichen Interesse und Anbieter digitaler Dienste. Kritische Infrastrukturen sind besonders wichtige Einrichtungen und werden europaweit festgelegt. Sie umfassen Großunternehmen in verschiedenen Sektoren, qualifizierte Vertrauensdiensteanbieter, mittlere Unternehmen in der Telekommunikation, Betreiber kritischer Anlagen und Einrichtungen des öffentlichen Sektors. Die Größenordnungen für Großunternehmen und mittlere Unternehmen werden anhand europäischer Empfehlungen festgelegt. Besonders wichtige Einrichtungen sind in verschiedenen Sektoren tätig und spielen eine entscheidende Rolle für das Funktionieren des Gemeinwesens.
III. Technisch-organisatorische Anforderungen
Die bevorstehende Neufassung des BSIG als Umsetzung der NIS-2-UmsetzungsG und KRITIS-DachG legt erweiterte Maßnahmen zur Sicherung der IT-Sicherheit für wichtige und besonders wichtige Einrichtungen fest. Risikomanagement, Nachweispflichten, Registrierungs- und Benennungspflichten sowie Melde- und Unterrichtungspflichten bei Vorfällen werden detailliert beschrieben und sind Kern des neuen Gesetzes.
Die gesetzlichen Anforderungen betonen verhältnismäßige technische und organisatorische Maßnahmen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme zu vermeiden. Das Risikomanagement für kritische Anlagen (insbesondere besonders wichtige Einrichtungen) ist streng geregelt.
Besonders wichtige Einrichtungen müssen alle zwei Jahre nachweisen, dass sie die Anforderungen zum Risikomanagement erfüllen. Die gängigen Methoden hierfür sind Sicherheitsaudits, Prüfungen oder Zertifizierungen.
C. Registrierungs- und Benennungspflicht
Unternehmen müssen sich selbst beim BSI (Bundesamt für Sicherheit in der Informationstechnik) registrieren. Die Einhaltung dieser Pflichten wird genau überwacht. Verstöße können zu Bußgeldern führen.
D. Melde- und Unterrichtungspflichten bei Vorfällen
Die überarbeiteten Meldepflichten richten sich an alle wichtigen und besonders wichtigen Einrichtungen bei Sicherheitsvorfällen. Zeitnahe Meldungen sind entscheidend. Das BSI kann die Einrichtungen zur Information ihrer Kunden anweisen.
E. Bußgelder bei Rechtsverstößen
Der Bußgeldkatalog im überarbeiteten BSIG sieht Bußgelder für verschiedene Verstöße vor, und die Sanktionen können erheblich sein. Hier besteht ein finanzieller Anreiz, sich frühzeitig mit den Neuerungen und der Umsetzung zu beschäftigen.
IV. Neue Herausforderungen für die Leitungsebene
Die NIS-2-Richtlinie legt umfassende Anforderungen an Unternehmen fest. Darunter fallen Risikomanagement, technische und organisatorische Maßnahmen, Sicherheitsvorfälle, Sicherheitspolitik und Verantwortlichkeiten.
Das KRITIS-DachG ergänzt die NIS-2-Richtlinie und legt zusätzliche Anforderungen für Betreiber kritischer Anlagen fest. Die Festlegung von Anforderungen an die Sicherheit der Informationstechnik und die Meldepflichten bei Störungen sind zentrale Elemente.
V. Fazit
Die bevorstehenden Änderungen im IT-Sicherheitsrecht zwingen Unternehmen und Behörden zum Handeln. Die Implementierung von Sicherheitsmaßnahmen und die Schulung der Mitarbeiter sind entscheidende Schritte.
Weiterführende Links
Referentenentwurf KRITIS-Dachgesetz:
NIS-2-Umsetzungsgesetz:
Sie haben Fragen?
Wir begleiten Sie bei allen Fragen zur Compliance in Verbindung mit IT-Sicherheitsrecht.
Kontakt zu Hinweisgeberexperte
Sprechen Sie mit unseren Experten – unverbindlich und kostenlos.
Autor: RA Dr. Maximilian Degenhart, Geschäftsführer Hinweisgeberexperte. Der Compliance Dienstleister Hinweisgeberexperte berät Mandanten bei der Einrichtung von Hinweisgebersystemen und nimmt Aufgaben von internen Meldestellen wahr. Wir betreiben Hinweisgebersysteme für mittelständische Unternehmen, börsennotierte Konzerne, Landkreise, Kommunionen und öffentliche Unternehmen.
Informationen zum Hinweisgeberschutzgesetz
Weitere Informationen zum Hinweisgeberschutzgesetz finden Sie auf unserer Homepage und auf unserem YouTube-Kanal:
*Zur besseren Lesbarkeit verzichten wir auf die gleichzeitige Verwendung der Sprachformen männlich, weiblich und divers (m/w/d). Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.