Die NIS-2-Richtlinie – Pflichten und Haftungsrisiken

Informationstechnische Systeme spielen eine immer größere Rolle für das Funktionieren des europäischen Binnenmarktes. Werden diese durch Cyberangriffe gestört, fällt oftmals nicht nur ein aktives Glied der Wertschöpfungskette aus, sondern zieht dies teilweise ungeahnte Folgeprobleme nach sich. Entsprechend stellt die Förderung und Vereinheitlichung des Schutzes wichtiger Anlagen vor Cyberangriffen einen wesentlichen Baustein der europäischen Sicherheitspolitik dar, in die sich auch die NIS-2-Richtlinie einreiht, welche an die bereits 2016 erlassene NIS-Richtlinie anknüpft und diese ersetzt. In Anbetracht der Komplexität ist betroffenen Unternehmen bereits jetzt anzuraten, sich mit der Richtlinie zu beschäftigen, auch wenn diese noch nicht in deutsches Recht umgesetzt worden ist und mit einer Umsetzung auch in allernächster Zeit nicht zu rechnen ist.

Aktueller Stand der Richtlinienumsetzung

Die bereits am 16. Januar 2023 in Kraft getretene NIS-2-Richtlinie ist von den Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Nach mehreren Referentenentwürfen hat die Bundesregierung in ihrer Kabinettsitzung am 24. Juli 2024 einen Regierungsentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) beschlossen. Nach diesem Entwurf soll das Gesetz zwar am Tag nach dessen Verkündung in Kraft treten. Mit Blick auf Komplexität und Umfang des Entwurfs ist nicht zu erwarten, dass die Umsetzungsfrist bis zum 17. Oktober 2024 eingehalten wird. Stattdessen ist davon auszugehen, dass es nicht vor März 2025 zu der Umsetzung kommen wird.

Nach dem Regierungsentwurf betroffene Unternehmen

Der Entwurf stellt Pflichten für Betreiber besonders wichtiger Anlagen sowie für Betreiber wichtiger Anlagen auf. Auf den ersten Blick erscheint der Adressatenkreis damit zwar relativ eng gezogen. Tatsächlich wird jedoch eine Vielzahl unterschiedlicher Unternehmen erfasst und der persönliche Anwendungsbereich gegenüber der früheren Rechtslage erheblich erweitert. Vor diesem Hintergrund und da sich hier teils schwierige Abgrenzungsfragen stellen, erscheint es nicht unproblematisch, dass die Unternehmen selbst zur Überprüfung in die Verantwortung genommen werden, ob sie als Betreiber (besonders) wichtiger Anlagen gelten.

Zu den Betreibern besonders wichtiger Anlagen zählen natürliche Personen oder Unternehmen, die eine in Anlage 1 des Entwurfs genannte Einrichtung betreiben (etwa Kreditinstitute oder Cloud-Computing-Dienste) und zusätzlich entweder mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Millionen Euro sowie eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen. Weiter fallen darunter Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze mit entweder mindestens 50 Mitarbeitern oder einem Jahresumsatz sowie einer Jahresbilanzsumme von jeweils über 10 Millionen Euro. Unabhängig von Mitarbeiterzahl bzw. Umsatz oder Jahresbilanzsumme sind darüber hinaus qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries, DNS-Diensteanbieter und Betreiber kritischer Anlagen erfasst.

Kritisch sind wiederum solche Anlagen, die für die Erbringung von Dienstleistungen zur Versorgung der Allgemeinheit in den Sektoren Energie, Transport und Verkehr, Finanzwesen, Sozialversicherungsträger sowie Grundsicherung für Arbeitssuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung erheblich sind und deren Ausfall oder Störung zu Gefährdungen der öffentlichen Sicherheit oder zu erheblichen Versorgungsengpässen führen würde. Die erfassten Anlagekategorien und jeweils erforderlichen Schwellenwerte sollen wie bisher im Einzelnen durch die BSI-KritisV geregelt werden. Zu denken ist hier beispielsweise an Gasspeicher oder Wasserwerke.

Als Betreiber wichtiger Einrichtungen gelten solche, die in den Anlagen 1 und 2 des Entwurfs aufgeführten Einrichtungen betreiben (z. B. Hersteller von Kraftwagenteilen und -zubehör) und zusätzlich entweder mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz sowie eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen. Darüber hinaus sind neben Vertrauensdiensteanbietern auch Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze erfasst, die weniger als 50 Mitarbeiter beschäftigen und einen Jahresumsatz sowie eine Jahresbilanzsumme von maximal 10 Millionen Euro aufweisen.

Bei der Ermittlung der relevanten Mitarbeiterzahlen bzw. Umsatzhöhen sind nur diejenigen Teile des Unternehmens relevant, die tatsächlich die betroffenen Einrichtungen betreiben. Allgemeine Tätigkeiten, die nur indirekt am Betrieb der Einrichtung mitwirken (etwa die Buchhaltung), sind anteilig anzurechnen. Die Bestimmung der jeweiligen Werte gestaltet sich gerade in Konzernstrukturen schwierig. Die Daten von Partner- oder verbundenen Unternehmen sind dem betrachteten Unternehmen nach dem Entwurf nur dann nicht zuzurechnen, wenn das betrachtete Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb der jeweiligen informationstechnischen Systeme ausübt, d. h. diese in eigener Verantwortung betreibt. Eine Zurechnung soll jedoch dann eintreten, wenn die Systeme z. B. durch die Konzernmutter betrieben werden, ohne dass das betrachtete Unternehmen auf deren Beschaffung, Betrieb und Konfiguration Einfluss nehmen kann.

Auf die Unternehmen zukommende Pflichten und drohende Sanktionen

Betroffene Unternehmen werden nach dem Entwurf verpflichtet, im Rahmen der Verhältnismäßigkeit ein geeignetes und wirksames Risikomanagementsystem zum Schutz der IT-Strukturen einzurichten, um die Aufrechterhaltung ihrer Dienste zu gewährleisten und die Auswirkungen etwaiger Störungen möglichst gering zu halten. Die Mindestanforderungen für derartige Risikomanagementsysteme werden vom Entwurf anhand eines Katalogs von zehn Bausteinen konkretisiert und betreffen unter anderem auch die Sicherheit der Lieferkette sowie Schulungen im Bereich der IT-Sicherheit. Die Einhaltung der Risikomanagementpflichten muss dokumentiert werden. Verstöße können insoweit bei besonders wichtigen Einrichtungen mit Geldbußen von bis zu 10 Millionen Euro oder, soweit diese einen Jahresumsatz von mehr als 500 Millionen Euro aufweist, bis zu 2 Prozent des Jahresumsatzes geahndet werden. Bei wichtigen Einrichtungen kommen Geldbußen bis zu 7 Millionen Euro bzw., bei einem Jahresumsatz von mehr als 500 Millionen Euro, bis zu 1,4 Prozent des Jahresumsatzes in Betracht. Betreiber kritischer Anlagen sind zudem verpflichtet, dem BSI alle drei Jahre die Einhaltung der Risikomanagementvorgaben nachzuweisen. Hier sind bei Verstößen Geldbußen bis zu 1 Million Euro bzw. bei Fahrlässigkeit von bis zu 100.000 Euro möglich.

Nach dem Entwurf ist die Geschäftsleitung verpflichtet, ein solches Risikomanagementsystem umzusetzen und dessen Umsetzung zu überwachen. Die Bedeutung dieser Pflicht darf nicht unterschätzt werden. In einem früheren Referentenentwurf war hier lediglich die Rede von einer Pflicht zur Billigung und Überwachung. Nach dem Regierungsentwurf reicht es damit nicht mehr aus, die Umsetzung des Risikomanagementsystems an spezialisierte Mitarbeiter zu delegieren und deren Umsetzungsmaßnahmen zu billigen und überwachen. Die Geschäftsleitung ist vielmehr selbst für die Umsetzung verantwortlich. Flankiert wird dies mit einer Pflicht, als Mitglied der Geschäftsleitung regelmäßig an entsprechenden Schulungen im Bereich des Risikomanagements teilzunehmen.

In Bezug auf erhebliche Sicherheitsvorfälle sieht der Vorschlag ein dreistufiges Meldesystem vor, das die bisherige einstufige Meldepflicht ersetzt. Betreiber besonders wichtiger und wichtiger Einrichtungen müssen der eingesetzten Meldestelle:

• unverzüglich, jedoch spätestens 24 Stunden nachdem sie von dem Vorfall Kenntnis erlangt haben, eine frühe Erstmeldung erstatten,
• unverzüglich, spätestens jedoch nach 72 Stunden, eine aktualisierte Meldung zur vorläufigen Einschätzung des Vorfalls einreichen und
• spätestens einen Monat danach einen Abschlussbericht erstatten, der insbesondere eine ausführliche Beschreibung des Vorfalls sowie Informationen zu getroffenen Abhilfemaßnahmen enthält.

Das BSI kann den Einrichtungen zudem auferlegen, ihre Nutzer über den Sicherheitsvorfall zu unterrichten. Für Einrichtungen aus einigen Sektoren (insbesondere dem Finanzwesen sowie der digitalen Infrastruktur) gelten gewisse Unterrichtungspflichten auch ohne besondere Anordnung durch das BSI. Nach der NIS-2-Richtlinie gilt ein Sicherheitsvorfall als erheblich, wenn er geeignet ist, bei der jeweiligen Einrichtung schwerwiegende Betriebsstörungen oder finanzielle Schäden zu verursachen bzw. bei Dritten erhebliche materielle oder immaterielle Schäden hervorrufen kann. Aktuell befindet sich auf EU-Ebene eine NIS-2-Durchführungsverordnung in Vorbereitung, welche die Erheblichkeitskriterien näher spezifizieren soll. Bei Verstößen gegen die Melde- und Unterrichtungspflichten drohen bei besonders wichtigen Einrichtungen Bußgelder von bis zu 10 Millionen Euro bzw. 2 Prozent des Jahresumsatzes, bei wichtigen Einrichtungen bis zu 7 Millionen Euro bzw. 1,4 Prozent des Jahresumsatzes.

Besonders wichtige und wichtige Einrichtungen sowie Domain-Name-Registry-Diensteanbieter sind darüber hinaus verpflichtet, sich spätestens drei Monate nachdem sie als solche gelten, bei einer vom BSI und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichteten Registrierungsmöglichkeit zu registrieren. Bezüglich Betreiber kritischer Anlagen und besondere Einrichtungsarten sieht der Entwurf besondere Registrierungspflichten vor. Pflichtverletzungen können insoweit mit Bußgeldern von bis zu 500.000 Euro geahndet werden.

 Haftungs- und Strafbarkeitsrisiko der Geschäftsleitung

Wie oben dargestellt, sind die Geschäftsleiter dazu verpflichtet, ein Risikomanagementsystem umzusetzen und dessen Umsetzung zu überwachen. Kommen sie dieser Pflicht nicht nach und entsteht dem Unternehmen dadurch ein Schaden, können diese dem Unternehmen schadensersatzpflichtig sein. Dies kann insbesondere dann relevant werden, wenn aufgrund der Versäumnisse ein Bußgeld gegen das Unternehmen verhängt wird. Die Schadensersatzhaftung der Geschäftsleiter ergibt sich dabei bereits aus der arbeits- und gesellschaftsrechtlichen Beziehung zum Unternehmen. Schließlich sind diese aufgrund ihrer vertraglichen Beziehung zum Unternehmen dazu verpflichtet, dieses ordnungsgemäß zu organisieren, wozu auch die Einrichtung eines wirksamen Risikomanagementsystems zählt. Das OLG Zweibrücken hat in einer jüngeren Entscheidung (Urteil vom 18.08.2022 – 4 U 198/21) zwar die Haftung im Zusammenhang mit Mängeln des Risikomanagementsystems recht eng gezogen, weil es im konkreten Fall von einer nicht-organspezifischen Tätigkeit ausging. Ungeachtet der Frage, ob damit tatsächlich eine beständige Rechtsprechungslinie vorgezeichnet werden sollte, ist die Entscheidung durch das geplante NIS2UmsuCG jedoch überholt, da der Entwurf der Geschäftsleitung ausdrücklich die entsprechende Umsetzungs- und Überwachungspflicht auferlegt. Enthält das Gesellschaftsrecht im Einzelfall keinen Haftungstatbestand, sieht § 38 Abs. 2 S. 2 des Entwurfs nunmehr zusätzlich einen eigenen Auffangtatbestand vor, nach dem die Geschäftsleiter für schuldhaft verursachte Schäden haften. Die Praxis dürfte sich auch hier mit einschlägigen D&O-Versicherungen sowie (bei GmbHs) mit einer Reduktion des Verschuldensmaßstabes auf Vorsatz und grobe Fahrlässigkeit behelfen (vgl. Voigt, IT-Sicherheitsrecht, 2. Aufl. (2022), Rn. 520). Anders als ein früherer Referentenentwurf sieht der Regierungsentwurf schließlich kein an die Unternehmen gerichtetes Verbot mehr vor, auf Schadensersatzansprüche gegen die Unternehmensleitung wegen Pflichtverstößen im Rahmen des IT-Risikomanagements zu verzichten. Etwas anderes gilt jedoch für vorsätzliche Pflichtverletzungen (§ 276 Abs. 3 BGB).

Wird das Risikomanagementsystem durch die Geschäftsleiter nicht oder nur ungenügend umgesetzt bzw. die Umsetzung nicht hinreichend überwacht, kommt zudem eine Strafbarkeit wegen Untreue (§ 266 StGB) in Betracht. Eine Untreue begeht unter anderem, wer die ihm obliegende Pflicht, fremde Vermögensinteressen wahrzunehmen, verletzt und dadurch dem zu Betreuendem einen Vermögensschaden zufügt. Diese Vermögensbetreuungspflicht beinhaltet auch, hinreichende Sicherheitsvorkehrungen gegenüber Cyberangriffen zu treffen. Zwar gilt hier die Business Judgement Rule, sodass keine unzumutbaren Maßnahmen gefordert werden und ein gewisser „Graubereich“ verbleibt. Dennoch muss es sich um ein wirksames Sicherheitssystem handeln, dessen Mindestanforderungen das NIS2UmsuCG näher beschreibt. Wird das Risikomanagement diesen Anforderungen nicht gerecht, handelt die Geschäftsleitung insoweit pflichtwidrig. Entsteht dadurch ein Schaden, etwa weil die Produktion wegen eines erfolgreichen Cyberangriffs einen nicht unerheblichen Zeitraum stillsteht oder das Unternehmen wegen des Verstoßes mit einem Bußgeld belegt wird, stellt dies objektiv eine Untreue dar. Dabei ist zu bedenken, dass die Rechtsprechung an den für die Untreue notwendigen Vorsatz geringe Nachweisanforderungen stellt (vgl. Voigt, IT-Sicherheitsrecht, 2. Aufl. (2022), Rn. 611). Verletzen die Geschäftsleiter ihre Aufsichtspflichten und werden im Unternehmen Straftaten oder Ordnungswidrigkeiten begangen, die bei gehöriger Aufsicht verhindert oder wesentlich erschwert worden wären, so droht im Übrigen auch ein Bußgeld nach § 130 OWiG.

Ausblick

Die NIS-2-Richtlinie bringt viele Neuerungen mit sich. Die Praxis dürfte im Hinblick auf die Umsetzung vor allem mit der erheblichen Ausweitung des persönlichen Anwendungsbereichs vor Probleme gestellt werden. Um keine Haftungsrisiken einzugehen, sollte daher frühzeitig mit der Einrichtung eines entsprechenden Risikomanagementsystems begonnen werden. Auch wenn mit einem Beschluss des NIS2UmsuCG nicht in allernächster Zeit gerechnet werden darf, sollte doch beachtet werden, dass der Regierungsentwurf in seiner aktuellen Fassung ein Inkrafttreten am Tag nach der Verkündung vorsieht.