Sanktionen nach NIS-2 : Bußgelder und Prozessorientierung im neuen IT-Sicherheitsrecht
„Wer nicht hören will, muss fühlen“ gilt auch bei Regularien für Unternehmen. Allerdings sind Bußgelder bei Verstößen bei Weitem kein Automatismus – vielmehr gilt es, die genaueren Umstände zu beachten. Unsere Autoren erklären, wo man besonders aufpassen muss, aber auch, wann und weswegen eine Angst vor Sanktionen unbegründet ist.
Von Dennis-Kenji Kipker, Frankfurt/Main, und Julian Zaudig, Köln
Die effektive Durchsetzung des neuen BSI-Gesetzes (BSIG) gleicht der sprichwörtlichen Kunst des Möglichen: Es gilt, anspruchsvolle Sicherheitsstandards flächendeckend umzusetzen, ohne Unmögliches zu fordern oder den Innovationsgeist von Unternehmen zu ersticken.
Das BSIG verpflichtet Unternehmen zu erheblichen Investitionen in ihre IT-Sicherheit, oft jenseits des unmittelbaren betriebswirtschaftlichen Nutzens. Der Aufwand für die gesetzlich erforderlichen Sicherheitsmaßnahmen muss jetzt und in Zukunft nicht betriebswirtschaftlich durch einen „Sicherheitsgewinn“ amortisiert werden. Vielmehr ist das Gemeinwohl entscheidend: Der Aufwand ist immer dann gerechtfertigt und verpflichtend, wenn er im angemessenen Verhältnis zu den wirtschaftlichen und gesellschaftlichen Folgen eines Ausfalls steht.
Unternehmen profitieren zwar im Ergebnis, wenn das Sicherheitsniveau in der deutschen Wirtschaft steigt, denn dies fördert eine sichere und resiliente Digitalisierung – erforderlich ist hierfür aber, dass das Sicherheitsniveau flächendeckend steigt. Diese Anforderung wirft die Frage auf, wie Maßnahmen durchgesetzt werden können, die sich für einzelne Betriebe – allen voran die vorbildlichen „First Mover“ – möglicherweise nicht sofort rechnen.
An dieser Stelle offenbart sich die oft übersehene Doppelrolle von Bußgeldern im Wirtschaftsrecht: Sie fungieren nicht nur als Sanktionsinstrument, sondern auch als Garant der Wettbewerbsgerechtigkeit, weil sie ermöglichen, bei unrechtmäßig handelnden Unternehmen und Personen unrechtmäßige Vorteile abzuschöpfen (§ 17 Abs. 4 OWiG). Im IT-Sicherheitsrecht betrifft dies besonders Fälle, in denen Unternehmen das BSIG nicht oder nur unzureichend umsetzen, und dadurch gegenüber ihren rechtmäßig handelnden Mitbewerbern Kosten sparen. Bußgelder sollen die vermeintlichen Einsparungen in dem Fall nicht nur wettmachen (sog. Abschöpfungsteil), sondern sogar übersteigen (sog. Ahndungsteil).
Bußgelder für fairen Wettbewerb?
Die Europäische Kommission hatte bei Erarbeitung der NIS-2-Richtlinie eine klare Vorstellung und rügte ausdrücklich die mangelhafte Vollstreckung der IT-Sicherheitspflichten aus der NIS-1-Richtlinie in den Mitgliedstaaten: Insbesondere seien zu wenig Bußgelder verhängt worden – die NIS-2-Richtlinie solle dies ändern (siehe Ex-post-Bewertung in [1]).
IT-Sicherheitspflichten sollen zwar nach Art. 31 Abs. 2 der NIS-2-Richtlinie [2] risikobasiert beaufsichtigt und staatlich durchgesetzt werden können, um Aufsichtsbehörden die Fokussierung von Ressourcen zu ermöglichen. Allerdings war zentral, auch ein einheitliches und wirksames Aufsichtsniveau zu schaffen: Unternehmen sollen sich also im positiven wie im negativen Sinne darauf verlassen können, dass IT-Sicherheitspflichten durchgesetzt werden. Gerade Letzteres wird häufig übersehen, denn die gleichmäßige Durchsetzung von IT-Sicherheitspflichten war für die Europäische Kommission von vornherein auch eine Frage der Wettbewerbsgerechtigkeit (siehe Folgenabschätzung in [1]).
Aus Sicht eines CISO leuchtet das sofort ein: Ein Informationssicherheits-Managementsystem (ISMS) entsprechend dem BSIG, nimmt nicht nur den eigenen Betrieb in den Blick, sondern auch das Gemeinwohl. Wie soll man diese Aufwendungen gegenüber den eigenen Stakeholdern rechtfertigen, wenn direkte Konkurrenten die gesetzlichen Vorgaben ohne Konsequenzen ignorieren? Erschwert die IT-Sicherheitsabteilung dem eigenen Unternehmen dann nicht sogar, sich im Wettbewerb zu behaupten? Die Kommission trifft einen praktischen Punkt: Ein Gesetz, das flächendeckend verpflichtet, aber nur die Willigen zwingt, leidet an einem grundlegenden Mangel – es ist nicht nur unzweckmäßig, sondern auch noch ungerecht.
Das BSI will bei der nationalen Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungs-Gesetz (NIS2UmsuCG, vgl. [4]) dennoch auf Kooperation setzen – und dieser Ansatz ist nachvollziehbar wie gleichermaßen positiv. Denn tatsächlich ist der Wert von Kooperation im Rahmen der Aufsicht über die gesetzlichen Cybersicherheitspflichten kaum zu überschätzen, weil das BSIG systematisch auf Kooperation zwischen Aufsichtsbehörde und Unternehmen baut: Das BSI steht in der Mitte des Informationsflusses zwischen den wesentlichen und wichtigen Einrichtungen – es ist und bleibt die zentrale Plattform über den Austausch zu Cybersicherheit und Bedrohungen für ebenjene. Ferner ist es eben nicht bloß Aufgabe des BSI, Unternehmen zu beaufsichtigen, sondern ebenso diese zu beraten.
Vom Gesetzestext zur Praxis
Eine systematische rechtliche Analyse zeigt auch, dass der Konflikt zwischen Beratung und Aufsicht durch und mithilfe von Bußgeldern in der Praxis entschärft sein wird – und zwar mit bewährten Mitteln. Jeder Jurist lernt in seiner Ausbildung sehr früh: Strafrecht – und dazu zählen letztlich auch Bußgelder – ist „ultima ratio“, also stets das letzte Mittel. Bußgelder anders anzuwenden, wäre nicht sinnvoll und in vielen Fällen schlicht rechtswidrig.
Die erste Frage, die sich in diesem Zusammenhang stellt, ist die offensichtliche: Darf das BSI von Bußgeldverfahren absehen? Die klare Antwort lautet: ja. In Deutschland muss nicht jede Ordnungswidrigkeit verfolgt werden. Die Behörden haben hier schon allgemein ein sogenanntes „Aufgreifermessen“, das ihnen erlaubt, Schwerpunkte zu setzen und risikobasiert zu arbeiten. Willkür ist dabei verboten – eine sachlich-pragmatische Entscheidungsfindung steht Behörden aber stets offen. Das BSI darf auch Leitlinien für seine Bußgeldentscheidungen kommunizieren.
Die Grenze findet dieses Aufgreifermessen aber in dem Gesetzesvollzug an sich. Deshalb ist wichtig, dass das BSI erklärt, vorrangig auf Kooperation zu setzen, nicht aber ausschließlich – dies wäre wiederum rechtswidrig. Denn das Aufgreifermessen verbietet einer Behörde, ein Gesetz schlicht unberücksichtigt zu lassen. In anderen Worten: Entscheidet der Gesetzgeber, dass Bußgelder verhängt werden sollen, darf die Behörde entscheiden, in welchen Fällen dies sinnvoll ist. Sie darf sich jedoch nicht zum Gesetzgeber aufschwingen und von Bußgeldern generell absehen.
Die Leitlinie bei Bußgeldentscheidungen wurde vielmehr vom Europäischen Gesetzgeber fixiert und folgt aus Art. 34 Abs. 1 der NIS-2 Richtlinie: Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Diese Maßgabe muss auch das BSI beachten (sog. unionsrechtskonforme Auslegung).
Inhaltliche Reichweite der Tatbestände
Für Verantwortungsträger ist dies allerdings nicht endgültig zufriedenstellend: Denn hiernach hat das BSI grundsätzlich Bußgelder in Erwägung zu ziehen; in begründeten Fällen kann es bloß auf sie verzichten. Sogar wenn ein Unternehmen sich um Selbstkorrektur bemüht, bedeutet dies deshalb nicht, dass das BSI auch von einem Bußgeld absehen muss.
Daraus folgt die Anschlussfrage: Was ist konkret mit Bußgeld bedroht? Das BSIG enthält weitreichende Bußdrohungen, denn es setzt auf sogenannte „Blankettnormen“. Diese zeichnen sich dadurch aus, dass sie keine eigenen Tatbestände enthalten, sondern auf andere Vorschriften verweisen. Zumindest dem Wortlaut nach ergibt sich deshalb ein automatisches Bußgeldrisiko: Wer eine Sicherheitsmaßnahme aktuell entgegen § 8a Abs. 1 BSIG oder künftig entgegen § 30 Abs. 1 BSIG nicht umsetzt, wird zwar nicht automatisch mit einem Bußgeld belegt, wohl aber gemäß § 14 Abs. 2 Nr. 2 BSIG und künftig gemäß § 65 Abs. 2 Nr. 2 BSIG mit Buße bedroht. Dieser weite Wortlaut erklärt auch, weswegen diese Vorschriften in der öffentlichen Wahrnehmung und bei der Geschäftsleitung von betroffenen Betrieben so hohe Wellen schlagen.
Auch rechtmäßige ISMS müssen nicht „perfekt“ sein
Für den Sicherheitspraktiker ist diese unbeschränkte Bußdrohung irritierend, denn aus den Vorschriften des BSIG geht weder jetzt noch in Zukunft hervor, welche Sicherheitsmaßnahmen konkret zu ergreifen sind. Es gibt zwar einen Katalog von Mindestsicherheitsmaßnahmen (künftig: § 30 Abs. 2 BSIG) – aber auch wenn diese ergriffen werden, gewährleistet dies noch nicht die Compliance des eigenen ISMS. Hierfür müssen über die Mindestsicherheitsmaßnahmen hinaus auch die „angemessenen“ Sicherheitsmaßnahmen nach § 30 Abs. 1 BSIG implementiert werden, welche im Übrigen dem Stand der Technik entsprechen „sollen“.
Diese Rechtsbegriffe sind hochgradig abstrakt und weder technisch noch organisatorisch eindeutig umsetzbar. Stattdessen zeigt sich sprachlich Folgendes: Das BSIG zwingt Sicherheitsverantwortliche jetzt und in Zukunft zu einer Entscheidung; welche Sicherheitsmaßnahmen umgesetzt werden und welche nicht, zeichnet diese Entscheidung aber nicht konkret vor. In der juristischen Debatte wird dies als „juristisches Patt“ bezeichnet, in dem keine der Handlungsalternativen erkennbar rechtmäßig ist [6].
Hier muss man sich ins Gedächtnis rufen, woraus diese gesetzliche Unschärfe methodisch folgt: Ein ISMS ist hochgradig individuell. Im Kern stehen Prognoseentscheidungen: Welches Risiko verwirklicht sich und welche Gegenmaßnahmen sind in einem konkreten Betrieb auch wirksam? Diese Prognoseentscheidungen stellen sich erst im Nachhinein als „richtig“ oder „falsch“ heraus. Im Moment ihrer Vornahmen sind sie aber nur sorgfältig begründet oder gerade unbegründet. Der Praktiker weiß: Mehr als sorgfältig arbeiten kann man nicht – und auch wenn man sorgfältig arbeitet, kann man keine absolute Sicherheit erreichen oder versprechen.
Technische Normen reagieren darauf mit einer iterativen Selbstüberprüfung und Selbstkorrektur. Nur zu diesem sorgfältigen Prozess, nicht aber zur „richtigen“ Risikoentscheidung, einem „richtigen“ ISMS oder gar zum „Zustand der IT-Sicherheit“ kann das BSIG zwingen (vgl. EuGH-Urteil [7] sowie [8] und [6], S. 292 ff.). Juristen haben auch hierfür schon seit langem einen Begriff: „Ultra posse nemo obligatur“ – zu Unmöglichem ist niemand verpflichtet.
Verfassungskonforme Unschärfe?
Sprechen bereits Juristen von einer Pattsituation, erscheint fragwürdig, ob eine solche Regelung überhaupt zulässig ist. Rechtlich stellt sich die Frage nach der „hinreichenden Bestimmtheit“ einer Vorschrift: Diese ist auch für den Gesetzgeber nicht beliebig, vielmehr setzt die Verfassung der Unbestimmtheit von Gesetzen Grenzen. Die Prüfung dieser Grenzen stellt jedoch selbst eine Herausforderung dar, denn offensichtlich kann man die „Bestimmtheit“ eines Gesetzes nicht quantitativ bemessen: Gesetze bestehen aus Sprache und Sprache kann per se nicht eindeutig sein. Die Rechtsprechung prüft die hinreichende Bestimmtheit einer Norm deshalb anhand einer Abwägung und beurteilt, ob bestehende Unklarheiten einer gesetzlichen Regelung – in Form einer Negativabgrenzung – noch hinnehmbar sind.
Aus dieser Abwägung ergibt sich im IT-Sicherheitsrecht eine ganz wesentliche Unterscheidung: Was im Allgemeinen gilt, muss nicht für die Bußnormen gelten. Denn auch ein Bußgeld stellt verfassungsrechtlich eine Strafe dar – und Strafvorschriften sind an strengeren Maßstäben zu messen als Rechtsvorschriften im Allgemeinen. Auch hierfür haben Juristen einen seit langem feststehenden Begriff: „Nulla poena, nullum crimen sine lege certa“ – keine Strafe ohne bestimmtes Gesetz.
Auch dieser Grundsatz ist für den Praktiker ohne Weiteres verständlich: Selbstverständlich ist es häufig hilfreich, Regelungen nicht allzu detailliert zu fassen, sondern Umsetzungsspielräume zu belassen. Nur so bleiben auf der Arbeitsebene passende, auf den einzelnen Anwendungsfall abgestimmte Lösungen erlaubt. Gerade im technischen Bereich arbeitet man deshalb bewusst mit Frameworks statt starrer Pflichtenkataloge. Anders ist dies jedoch, wenn jemandem Fehlverhalten vorgeworfen werden soll: Ein Vorwurf muss konkret sein, sonst kann sich der Betroffene weder angemessen verteidigen, noch kann er sich verbessern – schon weil er sonst gar nicht konkret wüsste, was er falsch gemacht haben soll.
Dieser im Kern sehr praktischen Einsicht folgt auch die Rechtsprechung des Bundesverfassungsgerichts. Zwar ist grundsätzlich stets zu fordern, dass jedermann vorhersehen kann, was von ihm gefordert wird, um sich rechtmäßig zu verhalten. Auch wenn dies im Einzelfall nicht möglich ist, bleibt der Gesetzgeber allerdings befugt, dennoch Regelungen zu erlassen. Die Unbestimmtheit folgt dann aus der „Natur der Sache“ – im IT-Sicherheitsrecht zum Beispiel aus der Dynamik der Bedrohungslage, die es verbietet, Sicherheitsmaßnahmen statisch zubeschreiben – und rechtfertigt eine Unbestimmtheit von Vorschriften, die etwa Sicherheitsmaßnahmen nach dem „Stand der Technik“ fordern. Sicherheitsmaßnahmen mit dem „Stand der Wissenschaft und Technik“ zu umschreiben, wurde deshalb auch hinsichtlich der Sicherung von Kernkraftwerken für zulässig gehalten (BVerfG-Urteil vom 8. August 1978, Az. 2 BvL 8/77 „Schneller Brüter“).
Hinsichtlich der Bußgelder gelten jedoch andere Maßstäbe, denn hier gilt das spezielle strafrechtliche Bestimmtheitsgebot nach Art. 103 Abs. 2 des Grundgesetzes (GG – vgl. BVerfG-Urteil vom 11. Januar 1995, Az. 2 BvR 1473/89). Und dieses spezielle Bestimmtheitsgebot fokussiert auf den Schutz des Einzelnen: Jeder muss vorhersehen können, was mit Strafe bedroht ist. Erlaubt sind allenfalls „Randunschärfen“ (vgl. BVerfG-Urteil vom 23. Juni 2010, Az. 2 BvR 2559/08).
Diese strafrechtliche Bestimmtheit lässt sich nach der Rechtsprechung des Bundesverfassungsgerichts (BVerfG) auf zwei Arten herstellen: Entweder die Sanktionsvorschrift kann selbst konkret darstellen, was mit Bußgeld bedroht ist, oder die zu dieser Vorschrift ergangene Rechtsprechung muss dies erkennen lassen (BVerfG-Urteile vom 28. Juni 2015, Az. 2 BvR 2558/14, 2 BvR 2571/14 und 2 BvR 2573/14). Diese Konkretisierung von Rechtsvorschriften soll im Bereich des Straf- und Bußgeldrechts sogar Aufgabe der Rechtsprechung sein (BVerfG a. a. O.). Fehlt eine solche Konkretisierung (noch), erlaubt das Grundgesetz aber keine für den Bürger unvorhersehbare Strafe – und damit auch kein entsprechendes Bußgeld.
Deshalb gilt aktuell noch für § 14 Abs. 2 Nr. 2 BSIG beziehungsweise künftig für § 65 Abs. 2 Nr. 2 BSIG: Der Tatbestand dieser Sanktionsvorschriften reicht nicht so weit, wie er sich liest. Niemand darf „raten“ müssen, wann er mit einem Bußgeld belegt werden kann – von einem Zweifelsrisiko ist er zu befreien. Deshalb ergibt sich jetzt und in Zukunft: Mit Buße bedroht sind nur offen erkennbar unzureichende Sicherheitsmaßnahmen [6].
Jeder Verantwortliche ist jedoch gut beraten, die Rechtsprechung im IT-Sicherheitsrecht engmaschig zu beobachten, weil sich hieraus in Zukunft jederzeit Änderungen ergeben können. Dies ist ein weiterer Umstand, der zeigt: Der CISO füllt aufgrund des BSIG nicht länger eine rein technische, sondern eine interdisziplinäre Rolle aus, die Technik, Recht und Wirtschaftlichkeit vereinen muss.
Konkretisierung von Bußgeld-Risiken
Aufbauend auf diesen Erkenntnissen lassen sich verschiedene Fallgruppen zum rechtskonformen IT-Sicherheitsmanagement nach NIS-2 ableiten:
- „Das betrifft uns nicht“: Wer nicht erkennt, dass er vom BSIG erfasst ist, kann mit einem Bußgeld belegt werden. Hier besteht keine unüberwindbare rechtliche Unsicherheit, denn mit Inkrafttreten des NIS2UmsuCG lässt sich die Betroffenheit des eigenen Unternehmens rechtssicher feststellen.
- „Abkürzungen“ und „Sparen“ im Rahmen des übrigen ISMS: Wessen reguliertes ISMS an grundlegenden Mängeln leidet, kann (und sollte!) mit einem Bußgeld belegt werden. Zur Illustration kann auf die Beispiele zur Organhaftung in der vorigen <kes> [8] zurückgegriffen werden. Es gilt: Wer fahrlässig oder sogar vorsätzlich „Abkürzungen“ nimmt und sich dadurch einen illegalen Vorteil verschafft, dem kann und sollte dieser Vorteil durch ein Bußgeld genommen werden.
- Weithin unbeachtete betriebliche Sicherheitsrichtlinie(n): Man kann gar nicht oft genug betonen, dass ein ISMS zwar naturgemäß auf betrieblichen Richtlinien, Anweisungen und Dokumentationen aufbaut, im Rahmen des BSIG dann allerdings nicht die Papierlage, sondern die tatsächliche Umsetzung von Sicherheitsmaßnahmen überprüft wird (vgl. [7,8]). Wer hier spart, dem droht ebenso ein Bußgeld.
- Nicht „Stand der Technik“: Ein Bußgeld kann nicht verhängt werden, weil von technischen Richtlinien – gerade des BSI – abgewichen wird. Die Äußerungen des BSI gegenüber Unternehmen sind hier teilweise missverständlich: Der Stand der Technik muss eben nicht „langsam aber sicher“ erreicht werden – richtig ist: Der Stand der Technik soll unmittelbar nach Geltung des NIS2UmsuCG eingehalten werden (künftig § 30 Abs. 2 Satz 1 BSIG), muss aber jetzt und in Zukunft nicht flächendeckend erreicht werden. Eine gut begründete Entscheidung gegen technische Standards ist deshalb rechtmäßig und zieht kein Bußgeld nach sich.
- Schlichte Fehleinschätzungen und Implementierungsfehler: Auch einzelne Fehler, wie ein Augenblicksversagen auf der Arbeitsebene, nimmt das Gesetz zuletzt hin, insoweit im Übrigen sorgfältig gearbeitet und korrekt reagiert wird. Absolute Sicherheit ist unerreichbar, also darf auch kein Bußgeld ergehen, nur weil jemand sie nicht erreicht.
In der Gesamtschau zeigt sich folglich: Ein Automatismus dahingehend, dass jeder Verstoß gegen IT-Sicherheitspflichten ein Bußgeld begründet, besteht – unabhängig von der Praxis des BSI – schon kraft Gesetzes gerade nicht. Hiervor müssen sich also weder CISOs noch sonstige Verantwortungsträger sorgen.
Wer aber denkt, er könne im regulierten Bereich „sparen“ oder „Abkürzungen“ nehmen, der bewegt sich auf dünnem Eis: Dies sind Fälle, in welchen Bußgelder sehr naheliegen!
Vertrauen ist gut, Compliance ist besser
Im Rahmen der Bußgelder ist die Haltung des BSI vor diesem gerade skizzierten rechtlichen Hintergrund eine gute Nachricht. Sie sollte jedoch auch nicht täuschen: Es wird keine rein kooperative Aufsicht geben. Dies wäre erstens rechtswidrig und würde die Bundesrepublik zweitens wahrscheinlich in einen Konflikt mit der Europäischen Kommission führen, welche Bußgelder als zentral zur Durchsetzung der Regelungen von NIS-2 ansieht.
Man darf zudem nicht vergessen, an wen sich das BSI mit seinen öffentlichen Aussagen wendet: an diejenigen, die sich informieren und IT-Sicherheit richtig und rechtmäßig umsetzen wollen – andere jedoch, die denken oder sogar darauf spekulieren, NIS-2 werde zukünftig nicht vollzogen, sind damit nicht gemeint. Schon die Kommission hat richtig erkannt: In diesen Fällen Bußgelder zu verhängen, ist nicht nur rechtmäßig, sondern auch eine Frage der Fairness gegenüber allen anderen.
Für CISOs ergeben sich daraus zwei wesentliche Schlussfolgerungen:
- Sorgfältige Prozessarbeit ist ein Schutzschild gegen Bußgelder: Wer sich ehrlich um Compliance bemüht, muss keine Sorge vor Bußgeldern haben. Denn auch ein reguliertes ISMS nimmt einzelne Fehler hin und verlangt keine Perfektion – gerade das ist ja der betriebsorganisatorische Ansatz eines ISMS. Das Vorgehen des BSI zeigt: Es will keine Bußgelder verhängen müssen – dabei ist es aber an Recht und Gesetz gebunden. Dem BSI müssen betroffene Unternehmen also Argumente liefern, weswegen ein Bußgeld eben nicht erforderlich oder sogar unverhältnismäßig ist. Deshalb ist eine betriebliche IT-Sicherheits-Dokumentation auch von so entscheidender Bedeutung.
- Im Verhältnis zur Aufsichtsbehörde kann für die Arbeit der IT-Sicherheitsabteilung deshalb als klare Zielsetzung definiert werden, dass sie in der Lage sein muss, jederzeit darzulegen, dass und wie man sich auch ohne Einschreiten des BSI an Recht und Gesetz hält. Hierfür ist die rechtliche Ebene in die technischen Standards zu integrieren: Sicherheitsmaßnahmen sind nicht nur sorgfältig auszuwählen und zu dokumentieren, vielmehr muss man auch festhalten, weswegen man sie für rechtmäßig hält. Das wird leider zu häufig übersehen. Und diese Prägung erfasst auch den PDCA-Kreislauf: Maßnahmen sind nicht nur daraufhin zu überprüfen, ob sie wirksam sind – zusätzlich ist darauf zu achten, ob ihre rechtliche Begründung (weiterhin) trägt und ein rechtmäßiger Betrieb sichergestellt ist.
CISOs, die diese interdisziplinäre Arbeit meistern, werden sich der Aufsichtsbehörde als integrer und vertrauenswürdiger Partner präsentieren können. In Krisensituationen kann das Gold wert sein – nach § 65 Abs. 5 Nr. 1 Lit. a BSIG bis zu 10.000.000 €. All das bedeutet im Ergebnis: Man kann gegenüber betroffenen Stakeholdern durchaus auch mit drohenden Bußgeldern argumentieren, damit die Wirksamkeit des NIS2UmsuCG nicht infrage gestellt wird. Aber dann sollte man richtiger- und fairerweise auch betonen: Sicherheitslücken ziehen nicht automatisch Bußgelder nach sich. Bußgelder sind nicht der „Preis“ für Sicherheitslücken oder Abweichungen vom Stand der Technik – sie sind vielmehr der Preis dafür, wenn das NIS2UmsuCG insgesamt nicht ernst genommen wird.
Prof. Dr. Dennis-Kenji Kipker ist wissenschaftlicher Direktor des cyberintelligence.institute in Frankfurt am Main.
Dr. Julian Zaudig ist Volljurist und wurde von der Universität zu Köln zum IT-Sicherheitsrecht promoviert. Er forscht an der Schnittstelle von Recht und Technik – neben seiner juristischen Ausbildung in Stellen wie der Zentral- und Ansprechstelle Cybercrime NRW sowie der Stiftung Familienunternehmen und Politik war er auch technisch und unternehmerisch tätig.
Literatur
[1] Europäische Kommission, Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union und zur Aufhebung der Richtlinie (EU) 2016/1148, Dezember 2020, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52020PC0823
[2] Europäische Union, Richtlinie (EU) 2022/2555 Des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), in: Amtsblatt der Europäischen Union L 333, S. 80, Dezember 2022, berichtigt im Dezember 2023, konsolidierte Fassung: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:02022L2555-20221227
[3] Dario Scholz, Dennis-Kenji Kipker, EU-Cybersecurity Version 2.0, Bringt NIS-2 das lang ersehnte Update für wesentliche und wichtige Einrichtungen?, <kes> 2023#1, S. 19
[4] Dennis-Kenji Kipker, NIS2UmsuCG: Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungs-Gesetz kommt – ein Überblick über den Status quo, <kes> 2023#4, S. 70
[5] Denis-Kenji Kipker, Auf der Suche nach dem Heiligen Gral der Cybersicherheit?, <kes>2024#3, S. 13
[6] Julian Zaudig, Die Regulierung von Risiken durch den Einsatz von Informationstechnik nach dem BSIG, Der rechtmäßige Umgang mit ungewissen Entwicklungen durch Unternehmen und Geschäftsleiter im Bereich der IT-Sicherheit, Nomos, August 2024, ISBN 978-3-7560-1612-9
[7] Europäische Union, Urteil des Gerichtshofs (Dritte Kammer) vom 14. Dezember 2023, VB gegen Natsionalna agentsia za prihodite, Rechtssache C-340/21, Dezember 2023, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62021CJ0340
[8] Dennis-Kenji Kipker, Julian Zaudig, Schutzschild gegen Haftungsrisiken, Wie die Rolle des CISO unter NIS-2 neu gedacht werden muss, <kes> 2024#5, S. 32
[9] Bundesministerium des Innern und für Heimat (BMI), Entwurf eines Gesetzes zur Umsetzung der NIS- 2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), Gesetzentwurf der Bundesregierung, Juli 2024, www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/kabinettsfassung/CI1/nis2-regierungsentwurf.pdf?__blob=publicationFile