Anja
Bruchmann
Angriffe auf die IT-Sicherheit eines Unternehmens sind schon lange keine Seltenheit mehr. Das neue BSIG und die sog. NIS-2-Pflichten sollen daher Unternehmen verpflichten, die Sicherheit ihrer Systeme und Lieferketten zu prüfen und angemessene Maßnahmen zu treffen, um die Folgen solcher Angriffe so gering wie möglich zu halten. In den Anwendungsbereich des Gesetzes fallen nicht nur Betreiber kritischer Anlagen und IT-Unternehmen, sondern eine Vielzahl weiterer Unternehmen, die als „wichtige“ und „besonders wichtige“ Einrichtungen einen Beitrag zur Funktionsfähigkeit des Binnenmarktes leisten.
Hintergrund: Was ist NIS-2 und das BSIG?
Die NIS-2-Richtlinie (EU 2022/2555) verpflichtet die EU-Mitgliedstaaten, ein deutlich höheres Cybersicherheitsniveau für kritische und wichtige Einrichtungen sicherzustellen. In Deutschland erfolgte die Umsetzung durch eine grundlegende Erneuerung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen, das sogenannte BSIG. Die Pflichten, an die sich Unternehmen mit Sitz in Deutschland zu richten haben, ergeben sich somit aus dem BSIG. Weil dieses jedoch auf die NIS-2-Richtlinie zurückgeht, wird umgangssprachlich weiterhin von den „NIS-2-Pflichten“ gesprochen.
Das neue BSIG erweitert den Anwendungsbereich der betroffenen Unternehmen deutlich. Die Bundesregierung geht davon aus, dass in Deutschland künftig rund 8.250 Unternehmen als besonders wichtige und rund 21.600 Unternehmen als wichtige Einrichtungen zu klassifizieren sind. Um die Informationssicherheit dieser Unternehmen gegen Angriffe resilienter zu machen, sieht das BSIG für diese Unternehmen umfangreiche Pflichten vor. Dies führe zu einem jährlichen Erfüllungsaufwand für die Wirtschaft von rund 2,3 Milliarden Euro.
Die neuen Regelungen gelten bereits. Die Frist zur Registrierung für Unternehmen, die die Anforderungen an wichtige oder besonders wichtige Einrichtungen erfüllen, ist Anfang März abgelaufen. Eine Vielzahl von Unternehmen ist jedoch nicht oder nur unzureichend vorbereitet. Dies liegt nicht zuletzt daran, dass die Regelungen des BSIG komplex sind und für viele Unternehmen unklar ist, ob sie wirklich als „wichtige“ oder sogar „besonders wichtige“ Einrichtung in den Adressatenkreis des BSIG fallen.
Wer ist betroffen? Sektoren und Schwellenwerte
Das BSIG unterscheidet im Wesentlichen zwei Kategorien: Besonders wichtige Einrichtungen und die sog. wichtigen Einrichtungen. Zu den besonders wichtigen Einrichtungen gehören insbesondere die Betreiber kritischer Anlagen sowie qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter, und zwar unabhängig von ihrer Größe.
Im Übrigen ist für die Betroffenheit in der Regel das Zusammenspiel aus Sektor und Unternehmensgröße entscheidend.
Als „besonders wichtige Einrichtung“, gelten Unternehmen, die mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Mio. Euro sowie eine Jahresbilanzsumme von über 43 Mio. Euro aufweisen, und einer der in Anlage 1 zum BSIG benannten Einrichtungsarten zuzuordnen sind. Hierzu gehören Unternehmen, die in den folgenden Sektoren tätig sind:
Energie (Strom, Fernwärmeversorgung oder Fernkälteversorgung, Kraftstoff- und Heizölversorgung, Gasversorgung),
Transport und Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr),
Finanzwesen (Bankwesen und Finanzmarktinfrastruktur),
Gesundheit,
Wasser (Trinkwasserversorgung und Abwasserbeseitigung,
Digitale Infrastruktur (einschließlich Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Managed Service Provider) und
Weltraum
Deutlich ausgeweitet wird der Anwendungsbereich des BSIG allerdings durch die Definition der „wichtigen Einrichtungen“. Hierzu zählen Unternehmen, die in den o.g. Sektoren der Anlage 1 oder in einem der Sektoren der Anlage 2 tätig sind, sofern sie mindestens 50 Mitarbeitende beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen. Zu den in Anlage 2 benannten Sektoren zählen:
Transport und Verkehr (Post- und Kurierdienste)
Abfallbewirtschaftung,
Produktion, Herstellung und Handel mit chemischen Stoffen,
Produktion, Verarbeitung und Vertrieb von Lebensmitteln (Lebensmittelunternehmen),
Verarbeitendes Gewerbe/Herstellung von Waren (Herstellung von Medizinprodukten und In-vitro-Diagnostika, Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, Herstellung von elektrischen Ausrüstungen, Maschinenbau, Herstellung von Kraftwagen und Kraftwagenteilen, Sonstiger Fahrzeugbau)
Anbieter digitaler Dienste, sowie
Forschungseinrichtungen
Der Anwendungsbereich ist damit sehr weit. Das Ziel dieser weitreichenden Betroffenheit liegt in der Sicherung der Gesamtstabilität und der Funktionsfähigkeit des Binnenmarktes.
Einordnung anhand der Wirtschaftstätigkeiten in den relevanten NACE-Klassen
Maßgeblich ist die Zuordnung zu den in Anlage 2 benannten NACE-Klassen (NACE = „Nomenclature statistique des activités économiques dans la Communauté européenne“), die derzeit in der Version NACE Revision 2 Aktualisierung 1 (NACE Rev. 2.1) veröffentlicht ist. Bereits in diesem Zusammenhang drohen Rechtsunsicherheiten, denn das BSI-Gesetz (einschließlich der FAQs des BSI zum Thema NIS-2) verweisen auf die Vorgängerversion NACE Rev.2.
„Vernachlässigbare Tätigkeiten“ – ein Bärendienst der deutschen Gesetzgebung?
Eine weitere Unsicherheit ergibt sich für Unternehmen, deren Tätigkeit nur teilweise in die regulierten Sektoren fällt. Hierzu zählen beispielsweise Unternehmen, deren Tätigkeit überwiegend in einer Vertriebstätigkeit ohne eigene Produktion besteht, die aber teilweise auch eine eigene Produktion aufweisen. § 28 Abs. 3 BSIG sieht vor, dass bei der Zuordnung zu den Einrichtungsarten solche Geschäftstätigkeiten unberücksichtigt bleiben, die „im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind“. Unter welchen Bedingungen eine solche Geschäftstätigkeit „vernachlässigbar“ ist, lässt das Gesetz offen. Zugleich wird diskutiert, ob die Ausnahme unionsrechtswidrig ist, weil die NIS2-Richtlinie eine solche Beschränkung nicht vorsieht.
Zugleich sieht die NACE-Klassifikation vor, dass die Wirtschaftstätigkeit eines Unternehmens nur einer einzigen NACE-Klasse zugeordnet werden soll. Im Rahmen einer „Abschichtung“ wird daher nur diejenige Klasse angewendet, in welcher unter Berücksichtigung des Umsatzes, der eingesetzten Mitarbeitenden und weiterer Kennzahlen der maßgebliche Wert des Unternehmens geschaffen wird. Wendet man diese Grundsätze konsequent an, wäre jedoch § 28 Abs. 3 BSIG überflüssig. Stattdessen führt die Regelung in § 28 Abs. 3 BSIG dazu, dass sogar strengere Maßstäbe gelten. Statt nur die Haupttätigkeit eines Unternehmens zu betrachten, werden nur „geringfügige Nebentätigkeiten“ unberücksichtigt gelassen. In den Umsetzungsgesetzen anderer EU-Mitgliedstaaten findet sich keine entsprechende Formulierung. Es bleibt daher abzuwarten, ob der deutsche Gesetzgeber der Wirtschaft mit der zusätzlichen Formulierung in § 28 Abs. 4 BSIG einen „Bärendienst“ erwiesen hat.
Outsourcing - Zurechnung der Herstellung im Auftrag?
Insbesondere für Unternehmen im Bereich des produzierenden Gewerbes ergibt sich eine weitere Sonderkonstellation. Denn die Erläuterungen zur NACE-Klassifikation sehen vor, dass auch die Herstellung durch einen Dritten unter bestimmten Bedingungen zugerechnet werden muss, sodass das Unternehmen auch dann der (regulierten) NACE-Klasse 28 zuzuordnen ist, wenn es keine eigene Herstellung betreibt. Wenn der Auftraggeber den gesamten Produktionsprozess einer Ware oder Dienstleistung auslagert, wird seine Haupttätigkeit im Allgemeinen so klassifiziert, als würde er den Produktionsprozess selbst durchführen. Dies ist der Fall, wenn das Unternehmen nicht nur Eigentümer des Endprodukts ist, sondern zusätzlich entweder a) auch Eigentümer der Materialien und Rohstoffe ist, die für den Produktionsprozess benötigt werden, oder b) er Inhaber der für die Herstellung erforderlichen geistigen Eigentumsrechte (z.B. von Patenten) ist. Die Erläuterungen zu den NACE-Klassen nennen als Beispiele die Metallverarbeitung, Metallbearbeitung (z.B. Verchromung), die Herstellung und Veredlung von Bekleidung sowie ähnliche elementare Teile des Produktionsprozesses. Damit ist jeweils abzugrenzen, ob es sich um (bisher nicht regulierte) Tätigkeit des „Handels“ oder um eine ausgelagerte Produktion handelt.
Wie auch schon in Bezug auf die „vernachlässigbaren Tätigkeiten“ bleibt aber bisher offen, ob die NACE-Zurechnungsregelungen zur ausgelagerten Herstellung auch in Bezug auf das BSIG anzuwenden sind.
Pflichten für betroffene Unternehmen
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen. Das Ziel solcher Maßnahmen besteht darin, Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die die Unternehmen für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. § 30 Abs 2 BSIG enthält einen Katalog der mindestens umzusetzenden Maßnahmen, die jeweils auf einem gefahrenübergreifenden Ansatz beruhen und den Stand der Technik einhalten sollen.
Darüber hinaus müssen sich wichtige und besonders wichtige Einrichtungen beim BSI registrieren und fortan erhebliche Sicherheitsvorfälle innerhalb gesetzlich festgelegter Fristen an das BSI melden.
Gern unterstützen wir Sie bei der Prüfung, ob Ihr Unternehmen als wichtige oder besonders wichtige Einrichtung vom BSIG betroffen ist und welche Rechtsfolgen damit verbunden sind.