NIS-2: Was das Ende der Registrierungsfrist für Geschäftsleitungen bedeutet

In § 38 Abs. 3 des BSI-Gesetzes oder BSIG („Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen“) steht, dass Geschäftsleitungen ausreichende Kenntnisse und Fähigkeiten „im Bereich der Sicherheit in der Informationstechnik“ erwerben sollen, um Risiken zu erkennen, zu bewerten und deren Auswirkungen auf die erbrachten Dienstleistungen beurteilen zu können. Diese Pflicht gilt für jedes Mitglied der Geschäftsleitung und ist nicht delegierbar. Unter Umständen kann es aber sinnvoll sein, die Schulung auch auf „quasi-äquivalente Positionen im Unternehmen“ oder Personen auszuweiten, die der Geschäftsleitung zuarbeiten (§30 Abs. 2 Nr. 7 BSIG).

Das BSI hat eine vorläufige Handreichung „NIS-2-Geschäftsleitungsschulung“ als Empfehlung zur Schulungspflicht für Geschäftsleitungen mit relevanten Inhalten herausgegeben. Hieran können sich sowohl Schulungsanbieter als auch Geschäftsleitungen orientieren. Mögliche Anbieter für Lerninhalte sollten nicht nur „abstrakte Kenntnisse“ vermitteln, sondern auch die Individuellen Begebenheiten der Einrichtung berücksichtigen. Zum Beispiel ist hier relevant, wie das Unternehmen kategorisiert ist (wichtig oder sehr wichtig), aus welchem Sektor es stammt oder ob es KRITIS unterliegt. Ein Nachweis für die Schulungen ist dabei intern zu verwahren und bei Nachfrage vorzuzeigen.

Im Zentrum der möglichen Schulungsinhalte der BSI-Empfehlung für die Geschäftsleitung stehen unter anderem auch ein systematisches Risikomanagement sowie Wissen über die Meldeprozesse bei einem Sicherheitsvorfall. Denn Unternehmen und die Geschäftsführung müssen für sie relevante Risiken kennen, sie bewerten und daraufhin angemessene – auch unter Einbezug der Wirtschaftlichkeit – technische sowie organisatorische Schutzmaßnahme etablieren. NIS-2 fordert ein belastbares Gesamtsystem in dem zum Beispiel auch die Sicherheit entlang der Lieferkette (§ 30 Abs. 2 Nr. 4 BSIG) geregelt ist. Durch die vermittelten Inhalte entsteht eine neue Qualität der Verantwortungsübernahme: Wer geschult ist, kann Risiken viel besser bewerten und auch verantworten. Letztendlich versetzt die Schulungspflicht die Geschäftsleitung in die Lage, die geforderten Risikomanagementmaßnahmen aktiv zu steuern. Cyberrisiken erhalten damit denselben Stellenwert wie finanzielle oder regulatorische Risiken. Risikomanagement wird zur Daueraufgabe der Unternehmensführung.

Nicht nur der strukturierte Umgang mit Risiken ist entscheidend, sondern ebenso die Kenntnis der Abläufe bei einem Sicherheitsvorfall. Unternehmen, die von der NIS-2 betroffen sind, unterliegen einer Meldepflicht bei kritischen Sicherheitsvorfällen. Besonders wichtig sind dabei die einzuhaltenden Meldefristen: Eine Erstmeldung hat grundsätzlich innerhalb von 24 Stunden nach Kenntniserlangung zu erfolgen und nach spätestens 72 Stunden ist eine weitere Meldung zum Status fällig. Nach einem Monat ist eine ausführliche Abschlussmeldung zu übermitteln, alternativ ein Zwischenstand der Ermittlungen, sofern diese noch nicht abgeschlossen sind. Um diese Dinge sollten Geschäftsleitungen wissen und auch die damit verbundenen Abläufe kennen, um verantwortungsvoll agieren zu können.

NIS-2 unterscheidet zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen in kritischen Sektoren, wie Energie, Gesundheit, Transport, digitaler Infrastruktur und öffentlicher Verwaltung. In der Realität ist es nicht immer einfach, Unternehmen eindeutig zuzuordnen. Ob betroffen oder nicht: Dokumentation ist hier entscheidend. Diese sollte auch dann erfolgen, wenn sich nach einer Prüfung herausstellt, dass das Unternehmen doch nicht unter NIS-2 fällt. Unternehmen, die die Registrierungspflicht versäumen, sollten die Situation realistisch einschätzen. Tritt nach dem Stichtag der Registrierung ein Sicherheitsvorfall ein, insbesondere wenn dieser meldepflichtig ist, stehen Unternehmen vor einem Problem. Zum einen erfordert die Abgabe der Meldung die vorherige Registrierung. Da hier ein Brief zugestellt werden muss, braucht dies einige Tage, sodass Fristen in jedem Fall versäumt werden. Zum anderen ist ein solcher Vorfall ein Hinweis für die Aufsicht, dass Unternehmen nicht ausreichend abgesichert sind, sodass eine Prüfung nach § 61f. BSIG möglich wird. Stellt sich bei dieser heraus, dass ein Unternehmen die Anforderungen der NIS-2 nicht erfüllt hat, steigt die Gefahr für Bußgelder ganz erheblich – wegen versäumter Registrierung, Meldepflicht und Verstoß gegen die Vorgaben zum Risikomanagement. Zudem droht Geschäftsleitungen dann auch die persönliche Haftbarkeit, siehe § 38 BSIG.

Auch wenn eine fristgerechte Registrierung faktisch kaum noch möglich ist, da formale Voraussetzungen wie das ELSTER-Zertifikat Zeit benötigen, sollte die Registrierung unverzüglich nachgeholt werden.

Der 6. März markiert zwar das Ende der Frist für die Registrierung, ist aber der Beginn einer neuen Verbindlichkeit für Unternehmen und ihre Leitung. Ein entscheidender Wandel, der mit NIS-2 einhergeht, liegt in der Verankerung von Informationssicherheitskompetenzen auf Geschäftsführungsebene. Mit der Schulungspflicht wird Cybersicherheit dauerhaft in der Unternehmensführung verankert. IT-Sicherheit wird damit zu einem sichtbaren Bestandteil moderner Unternehmensführung. Wer diesen Anspruch annimmt, gewinnt mehr als regulatorische Konformität: Er gewinnt strategische Steuerungsfähigkeit in einer digitalen Wirtschaft, in der Vertrauen zum entscheidenden Wettbewerbsfaktor geworden ist und Cybergefahren proaktiv begegnet werden sollte.