Kommunen und kommunale Betriebe müssen sich auf neue IT-Vorgaben einstellen: Die Rechtsanwälte Markus Heinrich und Denise Dressler-Niesler über das IT-Sicherheitsgesetz 2.0 und die NIS-2-Richtlinie.
Ein Blick in das Bundeslagebild Cybercrime 2021 des Bundeskriminalamtes (BKA) macht klar: Die Lage ist ernst – die Anzahl erfasster Cyberstraftaten steigt an, die Aufklärungs-rate sinkt. Für das Jahr 2021 ist ein Anstieg um über zwölf Prozent zu verzeichnen, bei einer abfallenden Aufklärungsquote von unter 30 Prozent. Es zeigt sich auch: Es sind nicht nur Wirtschaftsunternehmen betroffen. Die Cyberkriminalität ist längst in den Kommunen angekommen.
So war Anlass des ersten nationalen Cyber-Katastrophenfalles ein Angriff auf die Verwaltung des Landkreises Anhalt-Bitterfeld. Dort waren nach einem Ransomware-Angriff die IT-Infrastruktur monatelang und somit die Prozesse kommunaler Verwaltung weitgehend und nachhaltig eingeschränkt (Bundeslagebild Cybercrime 2021).
Sowohl durch den deutschen Gesetzgeber als auch auf europäischer Ebene wird dem zunehmenden Bedrohungsszenario durch Cyberkriminalität Rechnung getragen. Die einschlägigen Regelungen zur Steigerung der Sicherheit in der Informationstechnologie werden verschärft. In diesem Beitrag soll daher ein Blick geworfen werden auf nationale Entwicklungen, nämlich das IT-Sicherheitsgesetz 2.0, und auf europäischer Ebene den Vorschlag der EU-Kommission zur NIS-2-Richtlinie.
Ziel ist es, das Schutzniveau der IT-Infrastruktur zu steigern. Das impliziert gesteigerte Anforderungen, die nunmehr wahrscheinlich – in weiten Teilen erstmalig – auch die öffentliche Verwaltung mit in die Verantwortung nehmen werden.
Das IT-Sicherheitsgesetz 2.0
Um die Regelungen der kommenden NIS-2-Richtline zu verstehen, müssen wir zunächst einen kurzen Blick in das aktuelle IT-Sicherheitsgesetz 2.0 und dessen Vorgänger-regelung werfen. Im Jahr 2015 wurde erstmals mit dem IT-Sicherheitsgesetz „1.0“ ein deutschlandweit einheitlicher Standard zur Gewährleistung von Cybersicherheit geschaffen. Das Gesetz belegte ausschließlich Betreiber kritischer Infrastruktur (KRITIS) mit Melde- und Audit- oder Zertifizierungspflichten, die eine dauerhafte und zuverlässige
Funktion der Prozesse gewährleisten sollten.
Auf diese Regelungen aufsetzend ist am 28. Mai 2021 das IT-Sicherheitsgesetz 2.0 in Kraft getreten. Es erweiterte insbesondere den Adressatenkreis der gesetzlichen Regelungen um sogenannte „UBI“: Unternehmen im besonderen öffentlichen Interesse. Hierunter fallen wohl insbesondere DAX-Konzerne sowie zum Beispiel die chemische Industrie. Für sie werden die neuen Störfallmelde-, Registrierungs- und Zertifizierungs-pflichten allerdings erst ab 1. Mai 2023 gelten.
Der Pflichtenkreis für KRITIS-Betreiber wurde indes bereits zum 28. Mai 2021 erweitert: Er umfasst nunmehr eine frühzeitige Anzeige des Einsatzes kritischer IT-Komponenten, und zwar inklusive der Vorlage von Garantieerklärungen über die gesamte Lieferkette sowie die Implementierung weiterer Sicherheitsstandards, wie die Einführung von Angriffserkennungssystemen.
Zudem wurde das Bundesamt für Informationssicherheit (BSI) mit weitergehenden Kompetenzen ausgestattet. Dazu gehört insbesondere die Befugnis zum Eindringen in IT-Systeme Dritter („Hackerbehörde“), ebenso gehören Fallen für Angreifer („Honeypods“) dazu und die Warnung vor unsicheren IT-Komponenten, wie es zum Beispiel medienwirksam im Fall der russischen Firma Kaspersky geschehen ist.
Die NIS-2-Richtlinie
Ende 2020 schlug die EU-Kommission sodann eine neue Richtlinie für ein hohes gemeinsames Cybersicherheitsniveau in der Union vor. Es soll der „bestehende Rechtsrahmen modernisiert (werden) unter Berücksichtigung der zunehmenden Digitalisierung des Binnenmarkts in den letzten Jahren und der sich rasch weiterentwickelnden Bedrohungen für die Cybersicherheit“ (Begründung zur
NIS-2-Richtlinie der EU-Kommission).
Es dürfte zeitnah mit einer Verabschiedung der NIS-2-Richtlinie zu rechnen sein. Die Richtlinie ist dann in nationales Recht umzusetzen. Trotz des bereits hohen Sicherheits-standards durch das IT-Sicherheitsgesetz 2.0 ist von der Einführung rechtlicher Neuerungen bei der Umsetzung der NIS-2-Richtlinie, möglicherweise in einem „IT-Sicherheitsgesetz 3.0“, auch in Deutschland auszugehen.
Bei der Umsetzung in nationales Recht werden diverse Vorgaben zu berücksichtigen sein. Der Entwurf sieht eine Geltung der Richtlinie für private und nunmehr auch öffentliche Einrichtungen vor, die in den Anhängen I und II zur Richtlinie als „wesentliche“ und „wichtige Einrichtungen“ aufgeführt werden (Artikel 2). Die Einordnung als „wesentliche“ und „wichtige Einrichtungen“ ergibt sich aus der Zuordnung zu Sektoren.
So werden zum Beispiel ausdrücklich als Sektor (erstmals) die gesamte öffentliche Verwaltung sowie weitere Industriezweige Adressaten der Regelungen rund um Cybersicherheit. Als Teilsektoren im Bereich Energie nimmt der NIS-2-Richtlinienentwurf Wasserstoff sowie Fernwärme und -kälte auf (Anhang I zur Richtlinie).
Erweiterung des Adressatenkreises
Das Thema IT-Sicherheit soll ausdrücklich als Kontroll- und Leitungsaufgabe implementiert werden. Leitungsorgane der betroffenen Einrichtungen müssen die Risikosicherheitsmaßnahmen billigen, die Umsetzung beaufsichtigen und Rechenschaft geben, wenn Verpflichtungen nicht eingehalten werden. Ferner sind verpflichtend Schulungen vorgesehen (Artikel 17).
Risikomanagementmaßnahmen werden ausdrücklich und ausführlich geregelt (Artikel 18), neue Vorgaben zum Melde- und Berichtswesen werden getroffen (Artikel 20). Die Regelungen umfassen Melde- und Berichtspflichten, zum Beispiel für erhebliche Bedrohungsfälle sowie Meldepflichten binnen 24 Stunden nach Kenntnisnahme des (eingetretenen) Sicherheitsvorfalls.
Die Bedeutung, die der Steigerung der Cybersicherheit beigemessen wird, zeigt sich auch an der vorgesehenen Bußgeldregelung (Artikel 31). Das Verhängen von Bußgeldern soll „wirksam, verhältnismäßig und abschreckend sein“. Als Höchstbetrag werden mindestens zehn Millionen Euro oder bis zu zwei Prozent des weltweiten im vorausgehenden Geschäftsjahr getätigten Umsatzes des Unternehmens genannt, je nachdem, welcher Betrag höher ist.
Bislang liegt lediglich der Entwurf der NIS-2-Richtlinie vor. Was letztlich nationales Recht werden wird, bleibt abzuwarten – mit dem IT-Sicherheitsgesetz 2.0 haben wir in Deutschland bereits ein komplexes Regelungssystem. Es muss allerdings davon ausgegangen werden, dass sich sowohl der Pflichten- als auch der Adressatenkatalog – letzterer insbesondere durch Erstreckung auf die öffentliche Hand – erweitern wird.
Dies ist angesichts der Bedrohungslage durch Cyberkriminalität auch begrüßenswert. Gerade Kommunen und kommunale Unternehmen, die häufig aufgrund ihrer Strukturen nicht über einen großen IT-Spezialistenstab verfügen, ist dringend zu raten, sich frühzeitig mit diesem Thema zu befassen und neue Entwicklungen im Blick zu behalten. Markus Heinrich, Denise Dressler-Niesler
Die Autoren: Markus Heinrich ist Rechtsanwalt und Partner bei der Kanzlei Wolter Hoppenberg, Standort Köln. Denise Dressler-Niesler LL.M. ist Rechtsanwältin bei der Kanzlei Wolter Hoppenberg, Standort Hamm.