IT-/ cybersecurity by design, by default, by resilience & by lifecycle management
Die EU-Datenschutz-Grundverordnung (DSGVO) ist seit dem 25.05.2018 geltendes Recht. Ihr dient die Datensicherheit als Gewährleistungsinstrument für den Datenschutz. Die juristische Verantwortung hierfür liegt bei den Verantwortlichen, d.h. den Unternehmen und Hoheitsträgern. Mit dem neuen Cyber- und IT-Sicherheitsrecht der Zweiten EU-Network and Information Security Richtlinie (NIS 2) wird der Anforderungskatalog für Unternehmen und öffentlich-rechtliche Betreiber von kritischen Intrastrukturen (KRITIS, d.h. Einrichtungen von wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden) weiter verschärft.
Ferner hat die EU auch eine Resilienz-Richtlinie auf den Weg gebracht, die sich zur NIS 2-Richtlinie synergetisch verhält und die der deutsche Gesetzgeber über das KRITIS-Dachgesetz umsetzt. Der EU-Cyber Resilience Act (CRA) schließlich überträgt die IT-Sicherheit auf den Produktlebenszyklus, von der Entwicklung über die Lieferkette bis zum Anwender, und gilt schon jetzt als das schärfste Schwert, das jemals in Brüssel zur IT-Sicherheit geschmiedet worden ist. Hauptziele sind hier wie dort
- die Sicherstellung der Infrastrukturen,
- der Schutz bedeutender Wirtschaftsgüter und der Anwender von digitalen Produkten, sowie
- die Bekämpfung von Cyberkriminalität: Denn im Verhältnis zum Bruttoinlandsprodukt sind die Schäden im Bereich Wirtschaftsspionage und Cyberkriminalität weiterhin nirgends so hoch wie in Deutschland.
„Update“ IT-Sicherheitsgesetz 2.0
Vor dem Hintergrund der allgemeinen Bedrohungslage wurden durch das IT-Sicherheitsgesetz von 2015 bestimmten Branchen (sog. „Sektoren“, wie z.B. Energie, Gesundheit, Wasser/ Ernährung) und Kategorien von Unternehmen (Betreiber kritischer Infrastrukturen/ KRITIS) mannigfaltige Verpflichtungen in Bezug auf die Sicherheit ihrer Systeme und Daten auferlegt.
Darüberhinausgehend wurden allgemein alle geschäftsmäßigen Anbieter von Telemediendiensten zur Umsetzung von Sicherheitsmaßnahmen nach dem Stand der Technik verpflichtet. Dies betrifft nahezu sämtliche nicht dem rein privaten Bereich zuzurechnenden Internet-Angebote wie Webshops, Online-Auktionshäuser, Suchmaschinen, Webmailer, Informationsdienste, Podcasts, Chatrooms, Social Communities, Webportale und Blogs. Zentraler Gesetzeszweck ist die Fortsetzung der nationalen und – beispielsweise auf EU-Ebene – internationalen Bestrebungen, Betriebsausfälle und Haftungsrisiken gesetzgeberisch bestmöglich zu begrenzen.
Aus dem „Update“ IT-Sicherheitsgesetz 2.0 vom 23.04.2021 ergeben sich nochmals Erweiterungen des sicherungsverpflichteten Kreises der KRITIS-Betreiber, bspw. für kommunale Aufgaben. Die Cybersicherheitsstrategie nimmt – unabhängig vom Betrieb kritischer Infrastrukturen – allgemein Unternehmen und öffentliche Verwaltung in die Pflicht zu effizienten Früherkennungskonzepten und Notfallmaßnahmen mit Blick auf die massiv gestiegenen Gefahren durch Cyberangriffe.
Es drohen drastische Bußgelder von bis zu 20 Mio. EUR. Weitere hoheitliche Sanktionen reichen bis zur Untersagung und Sperrung der Dienste.
NIS 2-Richtlinie
Im Amtsblatt der EU vom 27.12.2022 hat die EU die Cybersecurity-Richtlinie veröffentlicht. Sie ist bis zum 17.10.2024 von den Mitgliedsstaaten umzusetzen und bezieht sich auf öffentliche und private Einrichtungen, deren Aufgaben von „hoher Kritikalität“ sind oder die sich in ihren Aufgaben auf „sonstigen kritischen Sektoren“ wie bspw. Postdienste, Datenverarbeitungsgeräte, elektronische Ausrüstungen, Maschinenbau und Anbieter digitaler Dienste beziehen.
NIS 2 enthält neben einem umfangreichen Katalog an Cybersicherheitsmaßnahmen auch einen Maßgabenkatalog zur Zertifizierung sowie verschärfte Berichtspflichten bei IT-Sicherheitsvorfällen. Gestärkt wird auch das Aufsichts- und Durchsetzungsregime: Es können Warnungen ausgesprochen und Zwangsgelder verhängt werden, bis hin zur Möglichkeit des Ausschlusses von Leitungspersonen betreffender Einrichtungen.
Die maximalen Geldbußen für wesentliche Einrichtungen betragen ähnlich zur DSGVO 10 Mio. EUR oder einen Anteil von 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Bei wichtigen Unternehmen beträgt die maximale Geldbuße entweder 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.