NIS2-Richtlinie

Kommt in der Cybersicherheit nun die Planwirtschaft?

Dennis-Kenji Kipker arbeitet als Professor für IT-Sicherheitsrecht an der Hochschule Bremen an der Schnittstelle von Recht und Technik in der Informationssicherheit und im Datenschutz. Dabei kommt bei ihm auch die Praxis nicht zu kurz: So ist er außerdem als Legal Advisor des VDE, CERT@VDE tätig und prägt im Policy-Bereich als Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin die zukünftige europäische und deutsche Cyber-Politik maßgeblich mit. Als Geschäftsführer des Beratungsunternehmens Certavo in Bremen setzt er sich überdies für die Entwicklung und Umsetzung pragmatischer Lösungen zur digitalen Compliance-Konformität von Unternehmen ein.“
Tilmann Dittrich ist aktuell Rechtsreferendar im OLG-Bezirk Düsseldorf.
Durch das NIS2UmsuCG kommen auf KRITIS-Betreiber klare Pflichten zu. Dazu eine kritische Betrachtung.

Seit Kurzem wurde der "offizielle" Referentenentwurf für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) des Bundesministerium des Innern und für Heimat veröffentlicht. Er bringt einige Änderungen insbesondere für Geschäftsleitungen mit sich.
Das NIS2UmsuCG wird zu einer Zeitenwende im deutschen IT-Sicherheitsrecht führen, denn eine Vielzahl von Unternehmen aus kritischen Sektoren wird zukünftig in Sachen IT-SicherheitIT-Sicherheit streng in die Pflicht genommen. Alles zu Security auf CIO.de

Es handelt sich bei dieser Regelung um eine zwingende Vorschrift in Umsetzung der europäischen NIS-2-Richtlinie.
Es handelt sich bei dieser Regelung um eine zwingende Vorschrift in Umsetzung der europäischen NIS-2-Richtlinie.
Foto: motioncenter - shutterstock.com

Eine Regelung sorgt nun in der IT-Branche für große Aufregung: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll bei besonders wichtigen Einrichtungen (etwa 2.100 Unternehmen deutschlandweit) in der Lage sein,

  • die jeweils zuständige Aufsichtsbehörde aufzufordern, einerseits den Unternehmen für einen Teil oder alle Dienste oder Tätigkeiten die Zertifizierung auszusetzen,

  • andererseits – und hierum drehen sich die Diskussionen – der Geschäftsleitung die Wahrnehmung der Leitungsaufgaben vorübergehend zu untersagen.

Ist dieser Aufschrei nun berechtigt? In den sozialen Medien wittert manch einer gar eine Planwirtschaft. Gegen eine solche Pauschalisierung aber sprechen gewichtige juristische Argumente sowie Praxiserfahrungen.

Klar definierte Vorgaben

Zunächst müssen die gesetzlichen Anforderungen an diese Untersagung beachtet werden. Es handelt sich bei den betroffenen Unternehmen und öffentliche Einrichtungen um Organisationen, die für die Gesellschaft elementare Dienste erbringen, deren Ausfall sich nachhaltig auf die Gesundheit, die öffentliche Sicherheit oder die Wirtschaft auswirken kann.

Die Aufsichts- und Durchsetzungsmaßnahmen sind nur erlaubt, wenn die besonders wichtige Einrichtung trotz Fristsetzung den Anordnungen des BSI nicht nachkommt. Gerade deshalb ist es wichtig, dass die Leistungen dieser Unternehmen zuverlässig zur Verfügung stehen, sie ihre IT-Sicherheit ernst nehmen und auf behördliche Aufsichtsmaßnahmen reagieren.

Lesetipp: Schutz vor Hackerangriffen - Sorge um Sicherheit von LNG-Anlagen

Es handelt sich folglich nicht um Unternehmen, die rein zum wirtschaftlichen Selbstzweck agieren. Sie haben es sich vielmehr zur Aufgabe gemacht, elementare Dienste für die Gesellschaft zu erbringen und werden für den Fall sanktioniert, dass sie trotz einer Aufforderung mit Fristsetzung die Mängelbehebung unterlassen. Zudem sind die behördlichen Anordnungen selbst gerichtlich überprüfbar.

Die politischen Prüfmechanismen

Weiterhin sind die Verhältnismäßigkeitsaspekte zu beachten, die zur Wahrung des Grundrechtsschutzes von Unternehmen und Leitungspersonen bereits im Gesetz angelegt sind. Zunächst geht der Weg des BSI zwingend über die zuständige Aufsichtsbehörde. Diese wird in der Regel die Aufforderung des BSI zunächst zumindest auf ihre Plausibilität hin prüfen. Außerdem ist die Aussetzung beziehungsweise Untersagung nur solange möglich, bis die Unternehmen der Aufforderung des BSI nachgekommen sind. Fällt also der Zweck der Durchsetzungsmaßnahme weg, fehlt es an einer Rechtsgrundlage für die Aufrechterhaltung der behördlichen Maßnahmen.

Last but not least

Es handelt sich bei dieser „Entmachtung von CEOs“ um eine Ultima-ratio-Regelung. Bevor solche Maßnahmen in Betracht kommen, sind weniger einschränkende, aber gleich effektive Maßnahmen heranzuziehen. Dies gebietet der grundrechtlich verankerte Verhältnismäßigkeitsgrundsatz. Demnach ist vor allem auf die Bußgelder im überarbeiteten BSIG abzustellen. Diese dürften aufgrund ihres beträchtlichen Rahmens, einschließlich der neu hinzukommenden Konzernregelungen, dem behördlichen Willen zur Mängelbeseitigung bereits vielfach ausreichend Nachdruck verleihen.

In diesem Sinne gibt auch die bisherige Praxis des BSI zur Bebußung von Verstößen keinen Anlass zur Sorge, denn im Sinne eines kooperativen Ansatzes versucht man zunächst gemeinsam und in vertrauensvoller Zusammenarbeit, Gefahren für die Cybersicherheit präventiv auszuräumen. Von einer Planwirtschaft in der Cybersicherheit sind wir somit weit entfernt. (bw)

Zur Startseite