Gesetzgebungsupdate: NIS2-Umsetzungsgesetz

00:00:02: Rosinus on Air, der Criminal Compliance Podcast.

00:00:12: Ich bin Volker Pietzsch bei mir ist Dr.

00:00:14: Matthias Grigek.

00:00:15: herzlich willkommen zu einer neuen Folge des Criminal Complience Podcast.

00:00:19: Cyberangriffe bestimmen längst das tägliche Nachrichtengeschehen und sind ein zentrales Risiko für Unternehmen.

00:00:26: Nationaler Alleingänge reichen nicht mehr weswegen die EU- im Bereich der Saibersicherheit beschlossen hat.

00:00:37: Seit dem sechsten Dezember zweitausendfünfundzwanzig ist das NISZWEI Umsetzungsgesetz in Deutschland in Kraft.

00:00:44: Dadurch gelten erstmal konkretisierte Pflichten für deutlich mehr Unternehmen einschließlich einer persönlichen Haftung der Geschäftsleitung sowie empfindlicher Sanktionen bei Verstößen.

00:00:57: Wir sprechen heute über die Auswirkungen des Gesetzes.

00:01:01: Warum brauchte es ein neues Gesetz zur IT-Sicherheit?

00:01:13: Die EU hat mit der NIST-II Richtlinie eine europaweite, strengere und breitere Regulierung – also ein Rechtsrahmen für Cybersicherheit geschaffen.

00:01:42: Der nun in das Deutsche Recht seit Dezember zwanzig fünfundzwanzig eben auch eingeführt wurde und das deutsche IT-Sicherheitsrecht grundlegend verändert

00:01:52: hat.".

00:01:53: Was ist Kritis?

00:01:54: Und wer ist jetzt

00:01:55: betroffen?!

00:01:57: Critis steht für kritische Infrastrukturen, also für Einrichtungen der Funktionsfähigkeit für die Gesellschaft essentiell ist.

00:02:05: Beispielsweise die Wasser-, Energie- oder Gesundheitsversorgung, der Transport-, die Finanzen-, Verwaltung, Medien.

00:02:13: Neu an NIST II ist dass das Gesetz nicht mehr nur diese klassischen Kritizbetreiber betrifft sondern wenn man es an Zahlen festmacht etwa dreißigtausend Unternehmen aller Größen und Branchen Da ist man schon ab fünfzig Beschäftigten sozusagen erfasst oder ab einem zehn Millionen Euro Jahresumsatz neben der Ausgubentätigkeit, die auch relevant ist.

00:02:38: Also das heißt auch kleine Unternehmen können erfasst sein sofern sie zum Beispiel besondere Dienste wie Vertrauensdienste oder digitale Dienstleistungen betreiben oder anbieten oder aus dem Zuliefersektor sind eine logistik Betreiber beispielsweise.

00:02:53: Das Gesetz unterscheidet zwischen sogenannten wichtigen und besonders wichtigen Einrichtungen.

00:03:01: Je nach Kritikalität und Sektor.

00:03:03: die Details dazu sind im BSI-Gesetz geregelt.

00:03:06: In welchen Bereichen gibt es durch die Neuregelung besondere Pflichten?

00:03:11: Welche Branchen betroffen sind?

00:03:13: nun neben den bekannten kritischen Sektoren kommen jetzt auch weitere, kann ja nicht.

00:03:18: zwei Erweiterungsgesetzes also nicht zwei Umsetzung gesetzt, Branchen wie IT und Cloud Dienstanbieter, Versicherungen, Pharmaunternehmen, Logistiker, Bahn und Luftfahrt.

00:03:32: Lebensmittelproduzenten die Abfallwirtschaft Umweltmanagement aber auch Behörden Verwaltung mit den kritischen digitalen System.

00:03:42: Diese Ausweitung trägt dem fortschreitenden digitalen Fortschritts in allen Lebensbereichen Rechnung.

00:03:49: Wir beobachten nach unserer Beratungspraxis das Zunehmend nicht mehr die großen Betreiber von Critis betreffen, wie Kraftwerke oder Krankenhäuser.

00:04:01: Die sind mittlerweile relativ gut aufgestellt alle sondern tatsächlich... Mehr.

00:04:06: dem Fokus haben wir auf etwa kleinere Einrichtungen und Unternehmen, die aber vielleicht weniger gut geschützt sind oder deren IT-Sicherheitskonzept weniger ausgefallen ist wie der Kritisbetreiber.

00:04:20: Es gab bisher ja auch nicht Verpflichtung neben der allgemeinen DSGVO-Verpflichtung Person bezogene Daten zu schützen unter dem Stand der Technik zu waren, gab es für viele Branchen wenige konkrete Regeln.

00:04:33: Das ändert sich nun, in dem NIST-II die gerade betroffenen Einrichtungen deutlich erweitert für die jetzt auch ganz konkrete Regeln gelten.

00:04:42: Was müssen Betroffene Unternehmen konkret tun?

00:04:44: Welche Pflichten gelten nun für die Unternehmen?

00:04:46: Was müssen sie tun?

00:04:47: Ja!

00:04:48: Pflicht Nummer eins – ein Risikomanagementsystem zu etablieren.

00:04:52: D.h.,

00:04:52: ein System um potenzielle Risiken erst mal zu entdecken, dass man die bekannt sind welche theoretischen praktischen Risiken es gibt, dann ein Konzept zu entwickeln wie man die Risiken begegnet und dieses dann auch eben umzusetzen.

00:05:09: Also Risikoanalyse ist da sozusagen der erste Schritt.

00:05:12: Neu ist auch und das tatsächlich hervorzuheben dass die Geschäftsleitung die Verantwortung für die Umsetzung trägt.

00:05:19: Da kann man schon einen Paradigmenwechsel erkennen von in zu tatsächlich einfach der Unternehmenspflicht, zur persönlichen Pflicht des Geschäftsführers.

00:05:27: Einer GmbH beispielsweise oder eines Vorstandes einer Aktiengesellschaft.

00:05:32: Neu sind auch die verkürzten Meldepflichten.

00:05:34: Also IT-Sicherheitsvorfälle müssen binnen vierundzwanzig Stunden an das BSI gemeldet werden.

00:05:42: Das ist schon ganz schön knapp.

00:05:43: Vierund zwanzig Stunden sind schnell um ein detaillierter Bericht.

00:05:48: dass dann Stufe zwei ist danach seventy Stunden geschuldet.

00:05:52: Zweiundsiebzig Stunden Meldepflicht kennen wir bereits aus der DSG VRO.

00:05:56: An diesem Beispiel sieht man sehr schön, es ist eine Erheblichverschärfung.

00:05:59: also in vierundzwanzig Stunden Pflicht für eine Erstmeldung beim BSI ist sehr knapp.

00:06:04: und dann kommt noch ne Dritte Pflicht hinzu und zwar einen Abschlussbericht zu fertigen und zwar spätestens nach einem Monat, also quasi ein Dreiklang.

00:06:14: Vierund zwanzig Stunde Erstmeltungen, zweiundsebzig

00:06:17: Std.,

00:06:18: detaillierter Bericht, ein Monatsfrist für den Abschussbericht.

00:06:22: Nächste Pflicht.

00:06:23: Alle drei Jahre ist ein Nachweis über die Wirksamkeit der durchgeführten Sicherheitsmaßnahmen zu fertigen, dazu erbringen.

00:06:31: Das Ziel ist klar – der Pflichten!

00:06:33: Man soll schneller auf Angriffe reagieren können und Transparenz gegenüber Behörden herstellen.

00:06:40: Es dient nicht nur der Erhöhung der IT-Sicherheit im Ganzen oder auch der Resilienz eines Unternehmens aber auch der Stärkung des und Information des BSI, damit diese, wenn sie regelmäß Berichte bekommen und informiert werden über Art- und Umfang von Cyberangriffen auch entsprechend darauf reagieren können.

00:06:58: Beispielsweise durch Warnung allgemeiner oder auch durch Anpassungen der Empfehlungen die Sie aussprechen.

00:07:05: Wenn Sie keine Kenntnis von IT Sicherheitsvorfällen haben, können Sie nicht auch entsprechende Empfehlung aussprechen.

00:07:10: Wie werden die Vorgaben umgesetzt?

00:07:12: Und worauf müssen Unternehmen beim Staat achten?

00:07:15: Also Das BSI, das Bundesamt für Sicherheit und Informationstechnik ist die federführende Stelle.

00:07:21: Es nimmt Meldung von IT-Sicherheitsvorfällen entgegen und entwickelt eben Sicherheitsstandards, kontrolliert die Einhaltungen.

00:07:28: Aber ganz wichtig ist mir zu erwähnen dass Unternehmen selbst proaktiv prüfen müssen ob sie betroffen sind.

00:07:34: Das BCI wird nicht auf betroffene Unternehmen also die Betreiber wesentlicher Einrichtungen beispielsweise zugehen weil ich mit dem Brief schreibe, oh sie fallen unter NIST II.

00:07:45: Bitte registrieren sich bei uns.

00:07:46: das wird nicht passieren.

00:07:47: Das muss man gerade als Geschäftsführer oder als Unternehmensleiter eben selbst in die Hand nehmen und mal einschätzen fallig unter Nist II bin ich jetzt auch betroffen?

00:07:58: Oder eben nicht!

00:07:59: Und wenn man zur Erkenntnis kommt ja ich falle darunter dann habe ich eine Pflicht.

00:08:05: dass ist die erste Pflicht die besteht mich beim MBI Portal zu registriern.

00:08:11: Und das sind die ersten, sag ich mal, Lessons learned.

00:08:14: Die wir hier in der Beratung zu IT-Sicherheitsvorfällen... Das machen wir ja auch bei uns in der Kanzlei.

00:08:20: Die ersten, sozusagen NIST II Erfahrungen sind schon angekommen, wie wir gelernt haben.

00:08:24: Na ja, IT Sicherheitsvorfall ist da.

00:08:26: Jetzt ist natürlich die Frage, wie erheblich muss man den melden oder nicht?

00:08:30: Stichwort Meldepflicht, dass die besteht hat man schon erkannt wenn man fällt unter NISTII.

00:08:34: aber okay dann kommt so die Erkenntnis Ich muss das melden!

00:08:37: Wie geht das

00:08:38: denn?!

00:08:39: Die Idee ist, dass man das über das BSI-Portal meldet und da geht nicht ganz so einfach.

00:08:44: Dafür muss man erst mal ein Account dort haben also einen Unternehmenskonto registrieren und das geht nicht wie man vielleicht denkt mit E-Mail Adresse oder Passwort sondern für die Anmeldung des sogenannten Unternehnenskontos.

00:08:59: mein Unternehmskonto heißt es Kurzbook erforderlich.

00:09:03: Das explodiert auf dem Elster Zertifikatssystem.

00:09:07: Wenn man so ein Muck-Account noch nicht hat, dann braucht man erst mal den als Zwischenschritt und die Beantragung kann das ist die Erfahrung mehrere Tage vielleicht sogar Wochen dauern.

00:09:16: Und wenn ich jetzt im Winterkopf weiß okay erste Meldung viertzehn Stunden, detaillierter Berechtlich zwanzig Stunden Dann ist es oft unmöglich diese Fristen einzuhalten ohne eben entsprechende Vorbereitung.

00:09:28: also diese fristgerechte Meldungen abzugeben Kann ihm im Ernstfall tatsächlich eine Challenge sein.

00:09:36: Der Tipp ist hier ganz klar, dass man sich damit auseinandersetzen soll und vielleicht schon mal neben dem Test fallig und unter eines zwei eben einen entsprechenden Account beim BSI registriert uns schon vorhält.

00:09:46: Und welche Konsequenzen drohen bei Pflicht verstößen?

00:09:49: Wie sieht es mit der Haftung der Unternehmensleitung aus?

00:09:52: Ja die Konseqenzen bei Pflichverstößen also.

00:09:54: das Gesetz setzt spürbar auf Sanktionen Bei Verstüßendrohnen und die umsatzbezogenen Bußgelder ähnlich, wie bei der DSGVO oder wenn wir das im Kartellrecht kennen.

00:10:03: Daneben haftet man auch die Geschäftsführung persönlich, z.B.

00:10:06: bei Fristversäumnissen oder beim Versäunnis einen Risikomanagement-System zu etablieren.

00:10:14: Die persönliche Aftung ergibt sich Klausengesetzes aus § thirty-eight bis E-Gesetz und § sixty-five bis E Gesetze wie der allgemeinen Vorschriften in der Organehaftung.

00:10:23: also Die Einhaltung der Fahrgäume ist nicht mehr optional, sondern eine ganz klare verbindliche und kontrollierte Compliance-Flicht geworden.

00:10:31: Damit kommen wir noch zu praktischen Tipps und Hürden – was sollen Unternehmen jetzt konkreten Angriff nehmen?

00:10:36: Ja!

00:10:37: Zuallererst sollten Unternehmen den Selbstcheck durchführen um zu klären ob sie unter dem Anwendungsbereich von List zwei fallen.

00:10:43: Das kann man sehr schön aufm Hilfe des Webportals des BSI Machen, da gibt es so einen schnellen Selbstcheck-Einschätzung.

00:10:53: Falligunter ist zwei ja oder nein?

00:10:55: Sollte man damit nicht weiterkommen würde ich empfehlen sich an Experten zu wenden.

00:11:00: das bedeutet spezifiziertes Unternehmen oder Anwaltskanzlei zur Frage von der verbindlichen Auskunft fallig drunter ja oder Nein und dann Schritt zwei.

00:11:08: wenn die Antwort ist Ja Ich falle darunter Registrierung beim BSE Portal möglichst frühzeitig.

00:11:15: daneben ist ganz wichtig Das Thema Dokumentation.

00:11:18: Also wer dokumentiert, was geplant oder umgesetzt wurde und auch welche Maßnahmen aus welchen Gründen umgesetzt oder vielleicht nicht umgesetzt wurden kann sich im Zweifel entlasten also im kritischen Fall in dem sozusagen ein Fehlverhalten erkannt wurde einen Pflichtverstoß dann zu sagen Welche Maßnahmen man hat eben umgesetzt, welche Risiken man erkannt hat.

00:11:43: Denn es ist ein Risiko, das weiß ich nicht, wenn eine Risikonalyse eben nicht erkannt wurde.

00:11:48: Dann spricht es dafür dass es vielleicht nicht vermeidbar war.

00:11:50: aber nochmal Dokumentation ist da tatsächlich immer.

00:11:54: King ist zu empfehlen.

00:11:56: Neben dem Risiko und der Risikkonalyse beim Selbstcheck durchführen wie steht's denn eigentlich um meine IT Sicherheitsmaßnahmen und zwar die Hardware der technischen Maßnahmen im Unternehmen.

00:12:08: Ist das alles Stand der Technik, State of the Art?

00:12:11: Was man nutzt beispielsweise Backup-Systemen, Firewall die Antivirus Software die man einsetzt

00:12:16: etc.,

00:12:18: also sind die harten Facts aber die größte Unsicherheitsfaktor und häufig auch Eintritts Tor für Cyberkriminelle ist eben das Verhalten der Mitarbeitenden.

00:12:27: Das ist der Fehler häufig nicht bei hard und software liegt sondern der Fehler tatsächlich bei Menschen.

00:12:32: Und deswegen ist das große und wichtige Thema, das Thema Schulung und Sensibilisierung der Mitarbeitenden.

00:12:39: Das hilft den sogenannten Faktor Mensch zu adressieren und die Resilienz im Unternehmen zu erhöhen, um die Wahrscheinlichkeit eines Risikoeintritts also eines Cybervorfalls zu reduzieren.

00:12:53: Da kann ich auch nur die Website des BSI empfehlen.

00:12:56: da gibt es viele hilfreiche Informationen gerade in dem FAQ Bereich zur Orientierung freizugängliche Standards des BSI, also wer sich damit noch nicht auseinandergesetzt hat und sagt ich möchte jetzt erstmal großen Kosten verursachen denen ist sozusagen der Blick auf die Homepage empfohlen.

00:13:11: Danke schon mal für diese Informationen!

00:13:13: Und jetzt am Schluss nochmal zusammengefasst wie gehen Unternehmen jetzt am besten vor?

00:13:18: Genau ja kurze Zusammenfassung war ich gerne.

00:13:21: Schritt eins eigenständig prüfen ob und welchen Umfang man von S-II betroffen ist.

00:13:26: Schritt zwei sorgfältig und rechtzeitig beim BSI registrieren und die technischen Voraussetzungen klären.

00:13:34: Drittens, die erforderlichen Compliance- und Risikomanagementstrukturen schaffen oder einführen, alles dokumentieren und sich Tier IV bei Bedarf Unterstützung

00:13:45: holen.".

00:13:45: Danke Matthias für das Gespräch!

00:13:47: Vielen Dank auch an Sie, liebe Hörerinnen und Hörern – bei Fragen oder Anmerkungen schreiben sie uns gerne jederzeit an InfoEd Rosinos-onminus R kommen.

00:13:56: Bis zum nächsten Episode

00:13:58: Der Podcast stellt lediglich einen allgemeinen Überblick über rechtliche Themen dar und ersetzt selbstverständlich keine Rechtsberatung zu konkreten Fragestellungen im

00:14:21: Einzelfall.