NIS2-Richtlinie

Kommt in der Cybersicherheit nun die Planwirtschaft?

Kommentar  von Dennis-Kenji Kipker und Tilmann Dittrich  IDG ExpertenNetzwerk
Durch das NIS2UmsuCG kommen auf KRITIS-Betreiber klare Pflichten zu. Dazu eine kritische Betrachtung.

Seit Kurzem wurde der "offizielle" Referentenentwurf für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) des Bundesministerium des Innern und für Heimat veröffentlicht. Er bringt einige Änderungen insbesondere für Geschäftsleitungen mit sich.
Das NIS2UmsuCG wird zu einer Zeitenwende im deutschen IT-Sicherheitsrecht führen, denn eine Vielzahl von Unternehmen aus kritischen Sektoren wird zukünftig in Sachen IT-Sicherheit streng in die Pflicht genommen.

Es handelt sich bei dieser Regelung um eine zwingende Vorschrift in Umsetzung der europäischen NIS-2-Richtlinie.
Foto: motioncenter - shutterstock.com

Eine Regelung sorgt nun in der IT-Branche für große Aufregung: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll bei besonders wichtigen Einrichtungen (etwa 2.100 Unternehmen deutschlandweit) in der Lage sein,

Ist dieser Aufschrei nun berechtigt? In den sozialen Medien wittert manch einer gar eine Planwirtschaft. Gegen eine solche Pauschalisierung aber sprechen gewichtige juristische Argumente sowie Praxiserfahrungen.

Klar definierte Vorgaben

Zunächst müssen die gesetzlichen Anforderungen an diese Untersagung beachtet werden. Es handelt sich bei den betroffenen Unternehmen und öffentliche Einrichtungen um Organisationen, die für die Gesellschaft elementare Dienste erbringen, deren Ausfall sich nachhaltig auf die Gesundheit, die öffentliche Sicherheit oder die Wirtschaft auswirken kann.

Die Aufsichts- und Durchsetzungsmaßnahmen sind nur erlaubt, wenn die besonders wichtige Einrichtung trotz Fristsetzung den Anordnungen des BSI nicht nachkommt. Gerade deshalb ist es wichtig, dass die Leistungen dieser Unternehmen zuverlässig zur Verfügung stehen, sie ihre IT-Sicherheit ernst nehmen und auf behördliche Aufsichtsmaßnahmen reagieren.

Lesetipp: Schutz vor Hackerangriffen - Sorge um Sicherheit von LNG-Anlagen

Es handelt sich folglich nicht um Unternehmen, die rein zum wirtschaftlichen Selbstzweck agieren. Sie haben es sich vielmehr zur Aufgabe gemacht, elementare Dienste für die Gesellschaft zu erbringen und werden für den Fall sanktioniert, dass sie trotz einer Aufforderung mit Fristsetzung die Mängelbehebung unterlassen. Zudem sind die behördlichen Anordnungen selbst gerichtlich überprüfbar.

Die politischen Prüfmechanismen

Weiterhin sind die Verhältnismäßigkeitsaspekte zu beachten, die zur Wahrung des Grundrechtsschutzes von Unternehmen und Leitungspersonen bereits im Gesetz angelegt sind. Zunächst geht der Weg des BSI zwingend über die zuständige Aufsichtsbehörde. Diese wird in der Regel die Aufforderung des BSI zunächst zumindest auf ihre Plausibilität hin prüfen. Außerdem ist die Aussetzung beziehungsweise Untersagung nur solange möglich, bis die Unternehmen der Aufforderung des BSI nachgekommen sind. Fällt also der Zweck der Durchsetzungsmaßnahme weg, fehlt es an einer Rechtsgrundlage für die Aufrechterhaltung der behördlichen Maßnahmen.

Last but not least

Es handelt sich bei dieser „Entmachtung von CEOs“ um eine Ultima-ratio-Regelung. Bevor solche Maßnahmen in Betracht kommen, sind weniger einschränkende, aber gleich effektive Maßnahmen heranzuziehen. Dies gebietet der grundrechtlich verankerte Verhältnismäßigkeitsgrundsatz. Demnach ist vor allem auf die Bußgelder im überarbeiteten BSIG abzustellen. Diese dürften aufgrund ihres beträchtlichen Rahmens, einschließlich der neu hinzukommenden Konzernregelungen, dem behördlichen Willen zur Mängelbeseitigung bereits vielfach ausreichend Nachdruck verleihen.

In diesem Sinne gibt auch die bisherige Praxis des BSI zur Bebußung von Verstößen keinen Anlass zur Sorge, denn im Sinne eines kooperativen Ansatzes versucht man zunächst gemeinsam und in vertrauensvoller Zusammenarbeit, Gefahren für die Cybersicherheit präventiv auszuräumen. Von einer Planwirtschaft in der Cybersicherheit sind wir somit weit entfernt. (bw)

Die Top CISOs in Deutschland
Gernot Zauner, CISO KEB Automation
Gernot Zauner ist seit 2023 als CISO für die Informationssicherheit bei KEB Automation zuständig. Bereits zuvor war er in verschieden Positionen im IT-Security-Bereich tätig.
Daniel Feinler, CISO, Häfele
Daniel Feinler ist bereits seit mehr als elf Jahren bei Häfele für den IT-Bereich zuständig. Im Mai 2023 hat er die Rolle des CISO übernommen.
Thomas Franke, CISO, Kuka
Nach seiner Tätigkeit in verschiedenen Sicherheitsbehörden des öffentlichen Dienstes hat Thomas Franke bei ZF im Bereich der Unternehmenssicherheit und anschließend in der Informationssicherheit verschiedene globale Projekte verantwortlich durchgeführt. 2017 hat er die Position des CISO und DPO in der Kuka Group übernommen.
Bodo Dobronski und Heike Tschabrun, CISOs, Versicherungskammer
Bodo Dobronski und Heike Tschabrun sind seit 2017 die CISOs des Konzerns Versicherungskammer. Bodo Dobronski hat einen Universitätsabschluss der TU Dresden als Informatiker, Heike Tschabrun einen Abschluss als Sozialwirtin der Fachhochschule Ravensburg.
Stefan Braun, CISO, Henkel
Stefan Braun ist bereits seit 2008 bei Henkel. Als CISO ist er seit 2021 für die IT-Sicherheit zuständig. Zuvor war er im IT Audit, der IT und im Konzerncontrolling tätig. Seine Berufslaufbahn begann er bei Accenture und Procter & Gamble nach einem Studium der Informatik an der RWTH Aachen und dem INSA Lyon.
Christopher Ruppricht, CISO, Schufa
Seit Ende 2022 ist Christopher Ruppricht als CISO für die IT-Sicherheit bei der Schufa verantwortlich. Zuvor war er als als CISO für paydirekt zuständig.
Max Imbiel, Global CISO bei Bitpanda
Max Imbiel ist seit April 2024 als Global CISO bei Bitpanda im Einsatz. Zuvor war er als Deputy Group CISO bei N26 tätig.
Holger Bajohr-May, CISO, Technische Werke Ludwigshafen am Rhein
Holger Bajohr-May begann seine Karriere bei den Technische Werke Ludwigshafen am Rhein bereits vor 25 Jahren mit der Ausbildung zum Industriekaufmann. Vom PC-Techniker über den SAP-Anwendungsbetreuer arbeitete er sich hoch und ist seit diesem Jahr CISO.
Iskro Mollov, Group CISO, GEA Group
Iskro Mollov ist seit 2020 der Group CISO und Vice President Security, Business Continuity and Crisis Management bei GEA Group. In seiner Funktion berichtet er an den Vorstand sowie an den Prüfungsausschuss der Aufsichtsrates und verantwortet ganzheitlich die Sicherheitsbereiche: Informationssicherheits-Governance, IT-Sicherheit, OT-Sicherheit, Produkt-Sicherheit, Physische Sicherheit, HR Sicherheit, Sicherheit in der Lieferkette, Sicherheit digitaler Medien sowie übergreifend Business Continuity Management (BCM) und Krisenmanagement.
Florian Jörgens, CISO, Vorwerk Gruppe
Seit Juli 2021 ist Florian Jörgens CISO der Vorwerk Gruppe. Neben dieser Tätigkeit ist er seit seinem Master-Abschluss 2015 unter anderem an diversen Hochschulen als Dozent, Autor und wissenschaftlicher Mitarbeiter tätig. Weiterhin hält er Fachvorträge rund um die Themen Informationssicherheit, Awareness und Cyber-Security. Florian Jörgens wurde im September 2020 vom CIO-Magazin mit dem Digital Leader Award in der Kategorie „Cyber-Security“ ausgezeichnet.
Hendrik Janssen, CISO, Bauer Global Technology
Hendrik Janssen zeichnet seit Juli 2016 als CISO und Global Technology Director Security bei Bauer Global Technology verantwortlich. Er war 12 Jahre lang Soldat auf Zeit bei der Bundeswehr im Bereich Cybersicherheit.
Ralf Kleinfeld, CISO, Otto (GmbH & Co KG)
Begonnen hat Ralf Kleinfeld bei Otto vor über elf Jahren als Teamlead Network and Security. Seit neun Jahren ist er nun als Department Manager Information Governance für die Informationssicherheit verantwortlich. Kleinfeld hat Abschlüsse vo der Quadriga University of Applied Sciences in Berlin und der Technische Universität Kaiserslautern.
Fabian Topp, CISO, Allianz Technology
Fabian Topp ist CISO bei Allianz Technology. Er ist ISO 27001 Lead Implementer, Lead Auditor und CISM zertifiziert. Er besitzt Universtätsabschlüsse in Politologie wie auch Rechtswissenschaften.