NIS-2 Blogreihe – Teil 5: Aufsicht und Sanktionen bei NIS-2-Verstößen: Risiken und Konsequenzen

In unserem zweiten Post sind wir bereits auf den zeitlichen Rahmen der Umsetzung der Richtlinie in deutsches Recht eingegangen. An dieser Stelle möchten wir jedoch auch nochmal auf die unmittelbare Wirkung von EU-Richtlinien eingehen.

Grundsätzlich hat die EU zwei Möglichkeiten Gesetze einzuführen. Die erste Möglichkeit ist eine Verordnung. Sie gilt direkt in allen EU-Mitgliedstaaten. Ein gutes Beispiel hierfür ist die DSGVO, die am 25. Mai 2018 in Kraft trat und seither direkt und einheitlich in der gesamten EU gilt. Die Mitgliedstaaten haben keinen Spielraum bei der Umsetzung. Nationale Unterschiede sind nur in bestimmten Öffnungsklauseln erlaubt.

Eine EU-Richtlinie, wie die NIS-2-Richtlinie, ist nicht unmittelbar gültig, sondern muss von den Mitgliedstaaten erst in nationales Recht umgesetzt werden. Sie gibt lediglich Ziele und Mindestanforderungen vor, während die konkrete Umsetzung den einzelnen Ländern überlassen bleibt. Die Mitgliedstaaten haben dabei einen gewissen Spielraum, wie sie die Anforderungen konkret in nationale Gesetze integrieren. Die Frist zur Umsetzung der NIS-2-Richtlinie endete am 17. Oktober 2024.

Da die Richtlinie jedoch noch nicht in deutsches Recht umgesetzt wurde, gibt es in Deutschland noch keine rechtsverbindlichen Rahmen. An diesem Punkt kommt die unmittelbare Wirkung der Richtlinie zum Tragen. Das bedeutet ein Unternehmen in Deutschland ist aktuell noch nicht verpflichtet die Richtlinie umzusetzen. Sollte es jedoch zu einer Cyberattacke kommen, bei der beispielsweise Dritte geschädigt werden, kann die Richtlinie vor Gericht angewendet werden. Hier ein kleines Beispiel dazu:

1. Es kommt zu einem erfolgreicher Cyberangriff auf einen Stromversorger A, sodass der Strom über mehrere Stunden ausfällt.
2. Ein Kunde B erleidet dadurch einen erheblichen Schaden.
3. Es kommt zu einem Rechtsstreit.
4. Der geschädigte B beruft sich auf die NIS-2-Richtlinie.
5. Das Gericht kann zugunsten von B entscheiden.

Da die Bestimmungen der Richtlinie uneingeschränkt, hinreichend klar und eindeutig festgelegt sind und der Mitgliedsstaat (in unserem Fall Deutschland) die Richtlinie nicht fristgerecht umgesetzt hat, hat die NIS-2-Richtlinie eine unmittelbare Wirkung, wie im Beispiel beschrieben. Daher ist es auf jeden Fall im Interesse Deines Unternehmens, die Anforderungen der Richtlinie schon jetzt umzusetzen. Gleichzeitig stärkst Du damit die Cyber-Sicherheit deiner Einrichtung und gewinnst doppelt.

Die NIS-2-Richtlinie erweitert die behördliche Aufsicht und erlaubt Sanktionen bei Verstößen. In Art. 36 der Richtlinie wird die Aufgabe an die Mitgliedsstaaten abgegeben. „Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“ (Art. 36 EU 2022/2555) Sie dienen dazu, die Einhaltung der Richtlinie durchzusetzen und die Resilienz kritischer Infrastrukturen nachhaltig zu verbessern.

Da die Umsetzung der Richtlinie, wie bereits mehrfach angesprochen, nicht abgeschlossen wurde, gibt es aktuell noch keinen rechtsverbindlichen Rahmen. Die folgenden Informationen beziehen sich auf den letzten Gesetzentwurf, der zum jetzigen Zeitpunkt jedoch nicht mehr gültig ist. Dennoch bietet der Entwurf einen Einblick in mögliche (und wahrscheinliche) Szenarien zu nationaler Aufsicht und Sanktionen. Für die Umsetzung der Richtlinie in nationales Recht ist das Bundesministerium des Innern (BMI) verantwortlich.

Wer überwacht die NIS-2-Konformität von Unternehmen?

Hauptverantwortlich für die Aufsicht der betroffenen Einrichtungen in Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI ist zentrale Meldestelle, Gefahrenabwehrinstanz und Bußgeldbehörde für Verstöße. Weitere Behörden wie die Bundesnetzagentur (BNetzA) und die Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin) überwachen sektorspezifische Bereiche wie Telekommunikation, Energie, Verkehr sowie den Finanzsektor.

Wie wird die Aufsicht im Rahmen von NIS-2 umgesetzt?

Nach dem Gesetzentwurf ist vorgesehen, dass das BSI von betroffenen Einrichtungen Audits, Prüfungen und Zertifizierungen von unabhängigen Stellen verlangen kann. Das Bundesamt entscheidet, von welchen Einrichtungen es Nachweise anfordert, anhand folgender Kriterien:

• Risikoexposition – In welchem Maß ist die Einrichtung potenziellen Bedrohungen ausgesetzt?
• Größe der Einrichtung – Wie groß ist die Einrichtung und welche Bedeutung hat sie?
• Eintrittswahrscheinlichkeit von Sicherheitsvorfällen – Wie wahrscheinlich sind sicherheitsrelevante Vorfälle?
• Schwere möglicher Sicherheitsvorfälle – Wie gravierend wären die Folgen eines Vorfalls?
• Gesellschaftliche Auswirkungen – Welche Konsequenzen hätte ein Vorfall für die Gesellschaft?
• Wirtschaftliche Auswirkungen – Welche finanziellen oder wirtschaftlichen Folgen wären zu erwarten?

Dem BSI werden, nach dem aktuellen Entwurf, dahingehend weitreichende Rechte eingeräumt. So darf es

• Betriebsräume betreten, Unterlagen einsehen und Auskünfte einholen
• Maßnahmen zur Mängelbeseitigung und Berichterstattung anordnen
• als letztes Mittel Genehmigungen aussetzen oder unzuverlässigen Geschäftsleitungen ihre Tätigkeit vorübergehend untersagen
• Zwangsgelder von bis zu 100.000 Euro verhängen

Verstöße des Schutzes personenbezogener Daten (Art. 35)

Werden bei der Überprüfung auch Verstöße gegen die DSGVO festgestellt, werden diese an die zuständigen Behörden weitergegeben.

Bußgelder

Der Gesetzentwurf enthält in Teil 8 Bußgeldvorschriften, in denen detailliert beschreiben wird, wie und in welcher höhe Bußgelder zu veranlassen sind. Da dieser aber höchstwahrscheinlich nochmal überarbeitet wird, werden wir diesen hier nicht aufschlüsseln. Dennoch sei festgehalten, dass auch ein anderer Gesetzentwurf sicher einen Bußgeld-Katalog enthalten wird und die Strafen, wie in der Richtlinie vorgesehen, empfindlich ausfallen werden.

Die NIS-2-Richtlinier verpflichtet Unternehmen im Wesentlichen auf folgende Punkte:

• Registrierungspflicht – Jede betroffene Einrichtung ist verpflichtet sich bei der zuständigen Behörde zu registrieren
• Meldepflicht – Jede betroffenen Einrichtung ist verpflichtet erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden zu melden
• Risikomanagementmaßnahmen – Jede betroffene Einrichtung ist verpflichtet ein umfassendes Risikomanagement aufzubauen (Damit befassen wir uns im nächsten Blogpost.)
• Nachweispflicht – Jede betroffene Einrichtung ist verpflichtet, die notwendigen Nachweise zur Verfügung zu stellen.

Die Haftungsfragen und Umsetzung der Sanktionen liegen bei den einzelnen Mitgliedsstaaten. Der letzte Gesetzentwurf sah folgende Regelungen vor:

Wer haftet für Verstöße?

Für Verstöße gegen NIS-2 haften Unternehmen und deren Leitungsebene. Geschäftsführer oder verantwortliche Personen können persönlich belangt werden, insbesondere bei grober Fahrlässigkeit.

Mögliche Geldbußen und Sanktionen

Die NIS-2-Richtlinie sieht bei Verstößen hohe Geldbußen vor, die abhängig von der Unternehmensgröße und Schwere des Vergehens festgelegt werden. Laut Gesetzesentwurf können diese bis zu 2 % des weltweiten Jahresumsatzes oder maximal 10 Millionen Euro betragen. Neben finanziellen Sanktionen sind auch verpflichtende Nachbesserungen und technische Prüfungen möglich.

Umgang mit Datenschutzverstößen

Verstöße gegen den Schutz personenbezogener Daten, die im Rahmen von NIS-2-Prüfungen aufgedeckt werden, unterliegen den Regelungen der DSGVO. Die zuständigen Datenschutzbehörden werden informiert und können Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängen.

Die NIS-2-Richtlinie stärkt die Cybersicherheit durch verbindliche Vorgaben, strenge Aufsicht und Sanktionen. Unternehmen stehen vor der Aufgabe, ihre IT-Sicherheitsmaßnahmen zu überprüfen und kontinuierlich zu verbessern. Der zentrale Kern ist ein umfangreiches Risikomanagement. Unser nächster Blog-Beitrag wird dieses Thema ausführlich darstellen.

Unser Team von Cybersicherheitsexperten steht dir zur Seite, um bei der Umsetzung der NIS-2-Anforderungen zu unterstützen. Wir bieten:

• Analyse deiner bestehenden Sicherheitsvorkehrungen
• Unterstützung bei der Registrierung beim BSI
• Entwicklung eines Notfallplans für Sicherheitsvorfälle
• Schulungen für deine Mitarbeiter

Kontaktiere uns für ein unverbindliches Beratungsgespräch!

Haftungsausschluss:

Die in diesem Blogpost enthaltenen Informationen dienen lediglich zu Informationszwecken und stellen keine Rechtsberatung dar. Wir haben die Informationen nach bestem Wissen und Gewissen zusammengestellt, übernehmen jedoch keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen. Für eine verbindliche Auslegung der NIS-2-Richtlinie und deren Umsetzung in nationales Recht konsultiere bitte einen Rechtsberater.