Die neuen EU-Informationssicherheitsgesetze – Ein Überblick

Ihre Ansprechpartner

Dr. Ralf Kollmann

Prokurist, Senior Manager

+49 (421) 3013-408

HINTERGRUND

Die digitale Transformation hat in den letzten Jahren zu einem starken Wandel in der Gesellschaft geführt. Unternehmen, Regierungen und Bürger profitieren heute mehr denn je von den Fortschritten in der Digitalisierung und der IT-gestützten Automatisierung, gleichwohl steigt die Abhängigkeit von einer sicheren digitalen Infrastruktur. Vor diesem Hintergrund verfolgt die EU das Ziel, die Sicherheit digitaler Infrastrukturen und damit des Geschäftsbetriebs von Unternehmen durch neue Gesetze zur Informationssicherheit zu stärken. Zusätzlich zur Datenschutzgrundverordnung (DSGVO) und den in Deutschland durch das BSI-Gesetz bestehenden Regulierungen kritischer Infrastrukturen (KRITIS) werden damit europaweit umfassende Anforderungen an die Informationssicherheit getroffen, welche die Mitgliedsstaaten bis zum 17. Oktober 2024 in nationales Recht umsetzen müssen. Für große Teile des Mittelstands werden die diesbezüglichen Anforderungen ab diesem Zeitpunkt einzuhalten sein.
Nachfolgend geben wir einen Überblick über die aktuellen EU-Gesetze zur Informationssicherheit und die daraus erwachsenden Anforderungen an Unternehmen.

INFORMATIONSSICHERHEIT IN UNTERNEHMEN

Am 27. Dezember 2022 ist die „NIS-2-Richtlinie“ im Amtsblatt der EU veröffentlicht worden. Die NIS-2-Richtlinie definiert 18 relevante Sektoren aus vielen Bereichen der Wirtschaft und erweitert damit den sektoralen Rahmen der bisher in Deutschland für kritische Infrastrukturen geltenden Regulierung deutlich. Die Richtlinie schließt Unternehmen ab einer Größe von 50 Mitarbeitern oder einem Umsatz in Höhe von mindestens 10 Mio. EUR ein. Darüber hinaus gilt die NIS-2-Richtlinie unter bestimmten Voraussetzungen größenunabhängig für Unternehmen der benannten Sektoren, bspw. wenn eine Störung erbrachter Dienste sich wesentlich auf die öffentliche Ordnung oder Sicherheit auswirken könnte.
Die unter die NIS-2-Richtlinie fallenden Unternehmen müssen zukünftig insbesondere die folgenden Anforderungen erfüllen:

  • Aufbau eines Informationssicherheitsmanagementsystems
  • Einrichtung eines Risikomanagements für Netz- und Informations-
    sicherheit
  • Verantwortung der Leitungsorgane für die Überwachung getroffener Risikomanagementmaßnahmen und für Verstöße der Einrichtungen
  • Aufbau eines Business Continuity Managements inkl. IT-Notfall- und IT-Krisenmanagement
  • Konkrete Vorgaben zu technischen Verfahren, bspw. Verschlüsselung, Multi-Faktor-Authentifizierung und Zugriffskontrolle
  • Dokumentation der getroffenen Maßnahmen
  • Gewährleistung der Sicherheit von Lieferketten

Eine wesentliche Neuerung stellen die Anforderungen an Maßnahmen zur Gewährleistung der Sicherheit von Lieferketten dar. Unternehmen müssen dafür Sorge tragen, dass die Sicherheit der Lieferkette einschließlich „sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern“ gewährleistet ist.

WEITERE EU-VORSCHRIFTEN UND NATIONALE UMSETZUNG

Die NIS­2­Richtlinie wird flankiert durch die ebenfalls Anfang 2023 in Kraft getretene EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER­Richtlinie). Die CER­Richtlinie zielt darauf ab, kritische Einrichtungen zu identifizieren und deren IT-seitige sowie physische Widerstandsfähigkeit gegenüber Bedrohungen zu stärken.

Gleichzeitig mit der NIS-2-Richtlinie ist die EU-Verordnung zur digitalen Betriebsstabilität im Finanzsektor (Digital Operational Resilience Act / DORA­Verordnung) in Kraft getreten. Die Verordnung dient der Stärkung der Netz­ und Informationssysteme des Finanzsektors. Sie ist von den Mitgliedstaaten der EU ab dem 17. Januar 2025 verpflichtend anzuwenden.

INFORMATIONS- UND IT-SICHERHEIT VON PRODUKTEN

Noch im Entwurf befindet sich die „Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen“ (auch: „Cyber Resilience Act“, CR-Verordnung). 

Anders als bei der NIS-2-Richtlinie stehen bei der CR-Verordnung nicht Unternehmen, sondern Produkte im Fokus. Konkret geht es um IT-Systeme – Hardware und Software. In der CR-Verordnung werden konkrete Anforderungen an die IT-Sicherheit von Produkten formuliert, bspw. zur Vermeidung von Schwachstellen in Programmen und zur Bereitstellung von Sicherheitsupdates für mindestens fünf Jahre. Ebenfalls verpflichtend ist eine Konformitätsbewertung, die – abhängig von der Kritikalität der Produkte – durch den Hersteller selbst oder durch externe Stellen vorzunehmen ist.

Die in der CR-Verordnung festgelegten Kontrollpflichten treffen zusätzlich zum Hersteller in ähnlicher Form auch EU-Importeure und Händler von IT-Systemen und Software.

REGULIERUNG VON KI-SYSTEMEN

Auch die gegenwärtig in aller Munde befindlichen Systeme der „künstlichen Intelligenz“ (KI) sollen durch mehrere neue EU-Gesetze reguliert werden. In diesem Zusammenhang wird gegenwärtig eine „KI-Verordnung“ entwickelt, welche einen risikobasierten Rahmen für die Zulässigkeit und den Betrieb von KI-Systemen festlegen soll. Eine Verabschiedung der KI-Verordnung wird im Laufe dieses Jahres erwartet, so dass sie voraussichtlich ab 2025 gelten wird.

Ergänzend zur KI-Verordnung soll durch eine geplante EU-Richtlinie zur Haftung von KI-Systemen die Einführung von Vorschriften für zivilrechtliche Haftung bei Schäden, die durch KI-Systeme verursacht werden, geregelt werden. Die Brücke zu KI-basiert bzw. autonom handelnden Maschinen wird schließlich durch die neue EU-Maschinenverordnung geschlagen. Deren Gegenstand wird u. a. eine Risikobewertung von Maschinen sein, bspw. bei autonomem Verhalten.

SANKTIONIERUNG

Die Sanktionierung der neuen Richtlinien und Verordnungen orientiert sich an der durch die DSGVO vorgegebenen Systematik. Bußgelder sollen demnach „wirksam, verhältnismäßig und abschreckend“ sein. In der NIS-2-Richtlinie wird bspw. ein Bußgeld-Rahmen bis zu einer Höhe von 7 bzw. 10 Mio. EUR oder 1,4 % bzw. 2 % des gesamten weltweiten Jahresumsatzes vorgegeben. Damit ist davon auszugehen, dass in den europäischen Mitgliedsstaaten eine mit dem Datenschutz vergleichbare gesetzliche Regulierung und Sanktionierung ab Ende 2024 auch für die IT- und Informationssicherheit umfassend gelten wird.

FAZIT

Durch die neuen EU-Gesetze zur Informationssicherheit werden umfassende Anforderungen an die IT- und Informationssicherheit festgelegt, die für einen Großteil der mittelständischen Unternehmen gelten werden. Wie zuvor bei der DSGVO wird damit eine Wende bezüglich der Verbindlichkeit der zu treffenden Informationssicherheitsmaßnahmen und eine deutlich strengere Sanktionierung verfolgt.

Durch die Vielzahl der neuen Richtlinien, Verordnungen und nationalen Umsetzungsgesetzen wird die Regulierung nicht nur umfangreicher. Da die Gesetze aufeinander und auf andere EU-Gesetze verweisen, wird es schwieriger, den Überblick über die im Einzelfall geltenden Anforderungen zu behalten. Dabei wird dem Nachweis der Umsetzung durch eine umfassende Dokumentation der getroffenen Maßnahmen eine bedeutende Rolle zukommen. 

Zur Umsetzung bleibt noch Zeit bis zum 18. Oktober 2024, in einigen Fällen bis Anfang 2025. Unternehmen sollten deshalb zeitnah prüfen, ob sie von den neuen Regelungen betroffen sind, um eine rechtzeige Einhaltung gewährleisten zu können.

Folgende Leistungen sind mit dem Thema Die neuen EU-Informationssicherheitsgesetze verknüpft:

IT-Beratung
SoftwareauswahlKritische Infrastrukturen (KRITIS)IT in der InsolvenzITIL-BeratungIT-VertragsmanagementIT-StrategieIT-ProjektmanagementIT-KrisenmanagementIT-InterimsmanagementIT-InfrastrukturIT-ForensikDatenschutzbeauftragterIT-Due-Diligence