Recht Kurz

Dr. Marcus Georg Tischler & Tim Petermann
Since 04/2020 55 Episoden

Folge052: EU Digitalrecht – NIS-2

22.08.2024 12 min

Zusammenfassung & Show Notes

In Folge 052 erklärt Dr. Hans Markus Wulf – wie immer „Rechtkurz“ – die Cybersicherheit anhand der NIS-2-Richtlinie (Network and Information Security). Er erläutert Tischler und Petermann wie Europas neueste Vorschriften das digitale Ökosystem stärken und Ihre Daten schützen.

Transkript

Tim
00:00:21
Moin und herzlich willkommen bei Recht Kurz. Moin Markus.
Marcus
00:00:24
Hi Tim, grüß dich. Was haben wir heute auf dem Zettel?
Tim
00:00:27
Naja, erstmal müssen wir nochmal unseren heutigen Gast wieder vorstellen. Hans-Markus Wulff ist da und wird uns erneut zum dritten Mal. Weil es so schön war, weil es so interessant war, sprechen wir heute weiter über Datenschutz, Datensicherheit, IT-Sicherheit. Und zwar haben wir uns heute mal die NIS 2 Verordnung vorgenommen. Was das genau ist, was es da mit Aufsicht hat und warum das interessant ist und Sie unbedingt zuhören sollten, das wird Markus uns jetzt erzählen.
Dr. Hans Markus Wulf
00:00:59
Sehr gerne, vielen Dank für die Einladung. Also NIS II ist tatsächlich im Gegensatz zu den ganzen anderen Verordnungen, KI-Verordnung und DORA-Verordnung und Cyber Resilience Act und Digital Services Act eine Verordnung. NIS 2 ist eine Richtlinie, das heißt, die gibt es schon seit einiger Zeit, die muss aber umgesetzt werden von den nationalen Staaten und in Deutschland ist das momentan stark, sozusagen in der Diskussion, in der Koalition momentan, muss aber grundsätzlich umgesetzt werden bis Mitte Oktober diesen Jahres, also 2024. Und sie regelt tatsächlich die Informationssicherheit. Das heißt, bisher war im Bereich der Informationssicherheit, IT-Sicherheitsgesetz, eigentlich nur die wirklichen betreiberkritische Infrastruktur betroffen und hatten besondere Anforderungen, besondere Informationssicherheitsmanagementsysteme und Risikomanagementsysteme, die sie einführen mussten. Da ging es dann um Kraftwerksbetreiber, da ging es um große Versicherungen, Banken, also das, was tatsächlich zum Funktionieren der Gesellschaft notwendig ist. Und es ist jetzt bei NIST 2, Network Information Security, da geht es jetzt darum, dass gesagt wird, wir müssen auch die anderen Stakeholder in der Gesellschaft entsprechenden Vorgaben zur Informationssicherheit ausstatten. Finden die natürlich nicht lustig, weil das bedeutet Arbeit, Ressourcen und Geld, aber durch diese Nies II wird der Anwendungsbereich jetzt in bestimmten Sektoren erheblich erweitert. Von bisher etwa 1700 Unternehmen in Deutschland kritische Infrastrukturbetreiber zu 30.000. Und das heißt, alle Unternehmen, die mehr als 50 Mitarbeiter haben oder 10 Millionen Umsatz, die müssen, wenn sie in diese Sektoren, in kritischen Sektoren fallen, jetzt tatsächlich auf ein neues Level schalten in Bezug auf Informationssicherheit.
Tim
00:02:46
Wie ist denn da der Stand der Umsetzung der Richtlinie in Deutschland?
Dr. Hans Markus Wulf
00:02:49
Wie gesagt, im Oktober muss sie umgesetzt werden und wir haben momentan jetzt glaube ich den vierten Entwurf der Bundesregierung vorliegen. Der letzte ist vom 24.06.2024. Das ist jetzt für uns gerechnet in zwei Wochen alt und es gibt das Gerücht, dass das nicht bis Mitte Oktober fertiggestellt wird. Aber vielleicht im November oder Dezember, vielleicht auch erst im Januar nächsten Jahr zusammen mit der DORA-Verordnung. Aber da ist jetzt jedenfalls sehr viel Musik drin und wenn wir jetzt aus Sicht von Juli 2024 gucken, ist das die nächste Umsetzung zum EU-Digitalrecht, die jetzt beachtet werden muss von deutschen Gesetzen, von deutschen Unternehmen. Und die müssen jetzt eben sich vorbereiten, dass jetzt das kommt, was als Entwurf schon vorliegt. Und da gibt es keine Übergangsfrist. Das ist das Relevante bei der NIS 2. Das heißt, es greift dann in dem Moment, wo das Gesetz da ist, wird es dann auch greifen. Und die Bußgelder sind auch nicht unerheblich. Wir haben also Bußgelder dann tatsächlich in Millionenhöhe, die zu beachten sind. Also Anwendungsbereich wird in Zukunft differenziert zwischen wichtigen Einrichtungen und besonders wichtigen Einrichtungen in Bezug auf der Informationssicherheit und in Bezug auf kritische Infrastrukturen. Unternehmen also, die mehr als 50 Mitarbeiter haben und die in die bestimmten Sektoren reinfallen, also Sektoren wie gesagt, Bankenversicherungen, geht um Abfallwirtschaft, es geht auch in Zukunft sogar um Maschinenbauunternehmen, Lebensmittelverarbeitung, überhaupt Verarbeitungsgewerbe, war alles vorher nicht im Kritisbereich drin. Die haben also diese Sektoren erweitert und zwar erheblich. Und wenn ein Unternehmen in diesen Bereichen unterwegs ist, eben zum Beispiel ein Maschinenbauunternehmen, dann sind die schon mit 50 Mitarbeitern eben dabei und müssen dann diese Umsetzung entsprechend vornehmen. Wir hatten zuletzt sogar einen Workshop bei einer Mandantin, Maschinenbauer. Da war der Informations- und Sicherheitsbeauftragte tatsächlich der absoluten Überzeugung, die fallen nicht darunter. Das war ein Reifenmaschinenhersteller. Und dann sind wir tatsächlich in diese Liste gegangen. Es gibt da von der EU-Kommission eine Liste mit den Sektoren und dort taucht die Kautschukverarbeitung mit auf. Das heißt, wenn Maschinen der Kautschuk verarbeiten, dann fallen die darunter. Und da war auf einmal allen Beteiligten, Entwicklungsabteilung, Rechtsabteilung, die Abteilung war auch dabei, Geschäftsführung, Also auf einmal mussten sie tatsächlich dort loslegen. Also viele Unternehmen, viele Mandanten, auch von uns, die bisher dachten, sie fallen nicht darunter, in die entsprechenden Sektoren fallen doch darunter. Und 50 Mitarbeiter sind natürlich schnell erreicht. So, die Unternehmen, die darunter fallen. Die sich das angucken müssen. Es gibt da entsprechende Anlage zu den IS-2-Richtlinien und auch zu dem Umsetzungsgesetz. Die müssen dann beim Informationssicherheitsthema aufs Level 2 schalten. Also die müssen tatsächlich jetzt Maßnahmen, da gibt es Paragraf 30 im Umsetzungsgesetz, da geht es um technisch-organisatorische Maßnahmen zum Schutz von Verfügbarkeit. Natürlich, das gibt es im Datenschutz auch. Es müssen wahnsinnig viele Risikokonzepte, Risikoanalysen durchgeführt werden. Es müssen Prozesse eingeführt werden, um Sicherheitsvorfälle schnell zu identifizieren, identifizieren, protokollieren, entsprechende Gegenmaßnahmen treffen zu können. Business Continuity, also sozusagen Aufrechterhaltung der Systeme, steht im absoluten Vordergrund. Man muss also technische Konzepte haben, um das Ganze vorzubereiten. Man muss die Lieferkette analysieren, gucken, was haben wir für Verträge, was haben wir für Abhängigkeiten, wo können wir möglicherweise, wo lassen wir momentan Lieferanten auf unsere Systeme, wo könnte man möglicherweise dort ein IT-Sicherheitsrisiko haben. Was ist mit der Wartung der Systeme, Anschaffung von neuen Software-Applikationen, Alles muss konzeptionell nur ausgestaltet werden, die Personal muss geschult werden, muss bei der Identifizierung wahnsinnig viel neu gemacht werden, damit diese Unternehmen, die im Mittelstand 50 Mitarbeiter, bisher noch gar nicht richtig ausgestaltet sind, die müssen diese ganzen Konzepte vorhalten. Also faktisch geht es eigentlich in der Umsetzung um die Einführung eines Informationssicherheitsmanagementsystems. So eins wie zum Beispiel die ISO 27001. Deswegen sind wir bei Heuking auf diesen Zug aufgesprungen, schon vor einem halben Jahr und haben jetzt diese Zertifikate besorgt, dieser ISO 27001 Auditor. Ich glaube, es gibt in Deutschland 15 Anwälte, die diesen Auditorentitel haben und wir haben inzwischen schon vier. Wir haben also drei in Düsseldorf und Köln und einen in Hamburg.
Marcus
00:06:38
Wer könnte das wohl sein?
Dr. Hans Markus Wulf
00:06:40
Dieses Thema ISMS, das kommt wahnsinnig, weil auf einmal alle Unternehmen jetzt anrufen und sagen, wir fallen gar nicht darunter. Aber unsere Kunden, große Werbekunden zum Beispiel von der Werbeagentur, die wollen jetzt von uns eine ISO haben, damit sie uns weiter beauftragen. Also müssen wir es auch haben. So rollt das runter, domino effect mäßig. Und wir haben da entsprechende Vorkehrungen getroffen, haben auch eine Partner, die das auch direkt umsetzen. Also die sozusagen die Managementprozesse implementieren, die die entsprechenden Assets definieren, die Risikobewertung vor Ort durchführen, die Interviews mit der entsprechenden Abteilung. Da wird in der Regel der Anwalt natürlich nicht mit einem relativ hohen Stundensatz eingesetzt, sondern das wird dann sozusagen delegiert an Dienstleister. Aber wir haben sozusagen die Aufsicht und wir haben regelmäßige Gesprächsstunden mit den Mandanten, wo wir dann das Projekt begleiten und wo wir am Ende dann auch bestätigen, okay, das System ist in Ordnung und wo wir einen internen Audit auch durchführen. Also das ist bei der NIS 2 so ein bisschen die Umsetzung. Relevant ist das Ganze insbesondere deswegen, weil auf der Basis der Geschäftsleitung erstmalig eine Verantwortung eingebaut wurde. Normalerweise ist das Unternehmen, wie beim Datenschutz, verantwortlich. Und wenn der Geschäftsführer missgebaut hat, dann kann der in Regress genommen werden. Und wir haben bei der NIS 2 jetzt eine Regelung drin, dass tatsächlich die Umsetzung, die Billigung und die Überwachung der Geschäftsleitung obliegt. Das heißt, eine persönliche Verpflichtung, dass der Geschäftsführer sich darum kümmert, die NIS II umzusetzen, während das bisher delegiert wurde an irgendeinen Mitarbeiter, ISB beispielsweise oder auch DSB oder IT-Abteilung. Das heißt, die Geschäftsführer rufen uns an und sagen, stimmt das, dass ich persönlich hafte mit meinem Privatvermögen? Das wurde jetzt in der 24.06. Version des Entwurfs des Umsetzungsgesetzes ein bisschen abgeschwächt. Vorher war das tatsächlich drin, dass auch die internen Verträge mit den Gesellschaften, Verzichtserklärung und so weiter, dass das unwirksam war, das ist wieder rausgenommen worden. Jetzt geht es darum allerdings, dass sie nicht nur billigen müssen und überwachen, dass so ein Informationssicherheitsmanagementsystem umgesetzt wird, sondern sie müssen es auch umsetzen. Was wir gar nicht so schlau finden, weil das meistens die Fachleute im Unternehmen viel besser können und der Unternehmer, also der Geschäftsführer, der ist eigentlich in der Regel mit anderen Dingen beschäftigt. Aber das ist ein anderes Thema. Wichtig aber zu wissen, der Geschäftsführer oder der Vorstand ist persönlich verantwortlich nach der NIS 2 zur Umsetzung eines Informationssicherheitsmanagementsystems. Und er muss sich auch schulen. Es gibt im 38 Umsetzungsgesetz Absatz 3 eine Regelung, er muss regelmäßig an Schulen teilnehmen, er muss in der Lage sein, Risikobewertungen durchzuführen, Risikoanalyse und entsprechend dann die Auswirkungen zu erkennen eines Informationssicherheitslecks. Das heißt, diese NIS 2 ist tatsächlich etwas viel Größeres, als viele Unternehmen denken. Und viele Unternehmen denken eben noch, dass sie da nicht runterfallen und faktisch fallen sie da runter. Was vielleicht noch zum Abschluss wichtig ist, es gibt eben auch weitere Pflichten, Registrierungspflichten. Man muss sich also richtig melden und beim BSI registrieren lassen. Man muss ein eigenes Meldesystem einrichten innerhalb von 24 Stunden, beispielsweise Sicherheitsvorfälle melden. Man muss auch ausführlich die eigenen Mitarbeiter informieren darüber. drüber. Also NIS 2 ist ein Riesenthema. Wie gehen wir damit um? Hatte ich eben schon gedacht. Haben tatsächlich in der Regel einen Kick-Off-Workshop bei der Mandantin, wo wir erstmal den Anwendungsbereich klären. Fällt ihr erst darunter, dann gibt es einen zweiten Workshop, wo wir genau analysieren, wie steht ihr eigentlich, was habt ihr für Konzepte, wie ist eure alte Sicherheit, welche Systeme habt ihr eingerichtet und machen dann eine Gap-Analyse. Was habt ihr jetzt, was müsst ihr später haben? Und dann wird das Projekt angeschoben, eine Roadmap gemacht mit den Verantwortlichen im Unternehmen und wir ziehen uns so ein bisschen zurück und coachen das Ganze, aber begleiten dann den Prozess, das dauert in der Regel so sechs bis zwölf Monate, um so ein Informations- und Sicherheitsmanagementsystem zu implementieren. Und dann am Ende gehen wir rein, machen ein Audit und bestätigen das, wenn das perfekt umgesetzt wurde. Dann hat der Mandant die Möglichkeit, sich auch noch extern zertifizieren zu lassen. Nach einer ISO 27001 zum Beispiel. Das geht auch, aber das ist natürlich viel erfolgreicher, wenn man vorher einen internen Audit abgeschlossen hat und der positiv war. Also NIS II ist das nächste große Thema im EU-Digitalrecht. Im November wird es wahrscheinlich oder im Dezember wird es dann kommen.
Tim
00:10:30
Du sagst es sechs bis zwölf Monate, bis so ein Risikomanagement-System dann wirklich implementiert ist. In dieser Zeit wird den Unternehmen aber auch gegeben, wenn die Richtlinie erstmal umgesetzt ist?
Dr. Hans Markus Wulf
00:10:40
Nein.
Tim
00:10:41
Das ist eigentlich schon zu spät dann?
Dr. Hans Markus Wulf
00:10:43
Das ist zu spät. Also die Unternehmen, die jetzt momentan dabei sind, ich war letztens in Berlin beim großen Kongress, die Unternehmen, große Konzerne, auch börsennotiert, die sagen alle, das kriegen wir bis November alles nicht hin, die Anforderungen. Also da wird möglicherweise dann die Aufsicht da vielleicht ein bisschen milder sein zu Anfang noch, wie das bei der DSGVO war. Aber wenn man jetzt sagt, wir fangen jetzt gerade an mit der Einrichtung, das wird zu spät sein.
Marcus
00:11:06
Also jetzt loslegen.
Dr. Hans Markus Wulf
00:11:08
So ist es.
Tim
00:11:08
Jetzt loslegen, aber wir hören jetzt auf, recht kurz. Wir sind schon wieder soweit. Ganz herzlichen Dank, lieber Markus. Wir sehen uns sicherlich in zwei Wochen, denn wir haben dann das Thema?
Dr. Hans Markus Wulf
00:11:20
Das nächste ist die DORA-Verordnung. Die DORA-Verordnung.
Tim
00:11:23
Wunderbar, da freue ich mich drauf.
Marcus
00:11:25
Also, bis zum nächsten Mal. Macht's gut, bis dann. Tschüss.

2024 - Dr. Marcus Georg Tischler & Tim Petermann