DA+

Aufsatz : Mehr Verpflichtete und mehr IT-Sicherheitsaufsicht durch die NIS-2-Richtlinie : aus der RDV 3/2023 Seite 152 - 160

Steve RITTERArchiv RDV
Lesezeit 28 Min.

Kaum 2 Jahre nach Inkrafttreten des IT-Sicherheitsgesetzes steht mit der NIS-2-Richtlinie (NIS-2)[1] bereits die nächste große Regulierung zur IT-Sicherheit vor der Tür. NIS-2 trat am 16.01.2023 in Kraft und muss bis 17.10.2024 in nationales Recht umgesetzt werden. Sie hebt mit Wirkung zum 18.10.2024 u.a. die NIS-Richtlinie von 2016 (NIS-RL)[2] auf und verpflichtet Mitgliedstaaten wie Unternehmen. NIS-2 bricht auch mit Traditionen. Statt Betreibern wesentlicher Dienste und Anbietern digitaler Dienste kennt die NIS-2 wesentliche und wichtige Einrichtungen. Auch der Ansatz einer Vollharmonisierung, den die NIS-RL noch für Anbieter digitaler Dienste vorsah[3] , gibt die NIS-2 auf und beschränkt sich auf eine Mindestharmonisierung (vgl. Art. 5 NIS-2).[4] Die NIS-2 wird deutlich mehr Unternehmen betreffen, die zudem unter einem strengeren Aufsichts- und Durchsetzungsregime stehen. Auf diese Aspekte konzentriert sich dieser Beitrag.

I. Bezug zu anderen europäischen Rechtsakten

Aufgrund der Vielzahl von EU-Rechtsakten mit IT-Sicherheitsbezug und deren teilweiser Überschneidung verdient das Verhältnis der NIS-2 zu einigen ausgewählten EU-Rechtsakten eine nähere Betrachtung.

1. DORA – (EU) 2022/2554

DORA, also die Verordnung über die digitale operationelle Resilienz im Finanzsektor, wurde zeitgleich mit NIS-2 verabschiedet und regelt die Informationssicherheit einer Reihe von Unternehmen im Finanzsektor. Als Verordnung bedarf DORA keines Umsetzungsgesetzes, sondern gilt – wie die DS-GVO – unmittelbar in den Mitgliedstaaten. Dass DORA als sektorspezifischer Rechtsakt i.S.v. Art. 4 Abs. 1 den allgemeinen Regelungen der NIS-2 vorgeht, stellt ErwG 28 NIS-2 klar. Dies ist wichtig, da sich die personellen Geltungsbereiche beider Rechtsakte teilweise überschneiden. So unterfallen Kreditinstitute nach Art. 2 Abs. 1 lit. a) DORA der VO und sind gleichzeitig als Einrichtungen im Sektor Bankwesen in Anhang I Nr. 3 NIS-2 enthalten und damit wesentliche Einrichtungen nach Art. 3 Abs. 1 lit. a) NIS-2. Das Gleiche gilt für Handelsplätze und zentrale Gegenparteien, die sowohl von Art. 2 Abs. 1 lit. h) und i) DORA als auch Anhang I Nr. 4 NIS-2 erfasst sind. Ähnliches gilt für Unternehmen, die IKT-Dienstleistungen für Banken anbieten. Diese sind als IKT-Drittdienstleister von Art.  2 Abs.  1 lit. u) DORA erfasst, dürften jedoch oft auch zu den Sektoren „Digitale Infrastruktur“ und „Verwaltung von IKT-Diensten“ nach Anhang I der NIS-2 gehören und damit, je nach Größe, wesentliche oder wichtige Einrichtungen sein. Trotz der Zugehörigkeit zu den Geltungsbereichen von DORA und NIS-2 gilt für IKT-Dienstleister DORA nicht als lex-specialis, sondern die NIS-2-Regelungen sind anwendbar. Denn der Vorrang sektorspezifischer Regelungen aus Art. 4 Abs. 2 gilt nur, wenn die Vorgaben für das Risikomanagement und die Meldungen zumindest wirkungsgleich zu denen aus NIS-2 sind. Das kann man für die Kreditinstitute, Handelsplätze und zentralen Gegenparteien annehmen. Denn diese sind nach Art.  2 Abs.  2 DORA sog. „Finanzunternehmen“, für die in den Art. 5 bis 19 DORA eine Reihe an Risikomanagement-, Absicherungs- und Meldepflichten statuiert werden. Die IT-Drittdienstleister jedoch gelten gerade nicht als Finanzunternehmen und unterliegen daher nicht diesen Pflichten aus DORA. Für sie gelten daher – obwohl im „Geltungsbereich“ von DORA – die Anforderungen der NIS-2. Sofern sie als sog. „kritischer IKT-Drittdienstleister“ für Finanzunternehmen klassifiziert werden, unterliegen sie aber zusätzlich dem Überwachungsrahmen und damit der Aufsicht der zuständigen Behörden nach Kapitel V Teil II DORA.

2. CER-RL – (EU) 2022/2557

Zeitgleich mit der NIS-2 wurde auch die Richtlinie über die Resilienz kritischer Einrichtungen (EU) 2022/2557 (CER-RL) erlassen. Diese soll den Schutz kritischer Infrastrukturen sicherstellen und mit dem sog. KRITIS-Dachgesetz umgesetzt werden. Alle Einrichtungen, die als kritische Einrichtung i.S.d. CER-RL festgelegt werden, gelten nach Art. 3 Abs. 1 lit. f) als wesentliche Einrichtungen i.S.d. NIS-2. Da sich der Schutz der Einrichtungen im Sektor „Digitale Infrastruktur“ nach der CER-RL im Schutz von Netz- und Informationssystemen erschöpft, soll die zuständige NIS-2-Aufsichtsbehörde nach Art. 9 Abs. 1 UAbs. 2 S. 2 CER-RL auch CER-RL-Aufsichtsbehörde für diesen Sektor sein, sofern die Mitgliedstaaten keine abweichende Regelung treffen.

3. eIDAS-VO und TK-Kodex

Unter der noch gültigen NIS-RL sind die Anbieter von elektronischen Vertrauensdiensten i.S.d. eIDAS-VO[5] noch von der Geltung der NIS-RL ausgenommen (Art. 1 Abs. 3 NIS-RL ) und zählen nicht zu deren wesentlichen Diensten. Sie sind zwar KRITIS nach Anhang 4 Nr. 2.3 BSI-KritisV, aber die KRITIS-Absicherungs- und Melde-Pflichten der §§ 8a ff. BSIG gelten für sie gem. § 8d Abs. 2 Nr. 5, Abs. 3 Nr. 5 BSIG nicht, da sie mit Art. 19 eIDAS-VO bereits gleichwertigen Absicherungs- und Meldepflichten unterliegen.[6] Zum 18.10.2024 wird Art.  19 eIDAS-VO jedoch durch Art. 42 aufgehoben und nach Art. 3 Abs.  1 lit.  b) zählen qualifizierte Vertrauensdiensteanbieter künftig zu den wesentlichen und die restlichen Vertrauensdienste nach Art. 3 Abs. 2 i.V.m. Anhang I Nr. 8 zu den wichtigen Einrichtungen. Sie müssen daher künftig die Pflichten aus der NIS-2 beachten.

Dasselbe gilt für Betreiber öffentlicher Kommunikationsnetze und öffentlich zugänglicher Kommunikationsdienste. Die NIS-RL galt für sie nicht, soweit sie bereits den Anforderungen des Art. 13 a) und b) der Richtlinie 2002/21/EG unterlagen, die später in Artt. 40 und 41 des Europäischen Kodex für die elektronische Kommunikation (TK-Kodex) aufgingen und in Deutschland durch § 165 TKG n.F. (§ 109 TKG a.F.) umgesetzt wurden. Doch mit Art.  43 NIS-2 wird das sektorspezifische EU-Sicherheitsrecht in den Artt.  40 und 41 TK-Kodex zum 18.10.2024 aufgehoben und die Geltung des NIS-Regimes im Sektor Digitale Infrastrukturen (Anhang I Nr. 8) auf sie ausgeweitet.[7]

4. DS-GVO – (EU) 2016/679

Wie die NIS-2 enthält auch Art.  32 DS-GVO Pflichten für die Absicherung der Datenverarbeitung bzw. der dafür genutzten Systeme. Bei den Vorgaben der NIS-2 geht es darum, die Risiken für die Netz- und Informationssysteme abzuwenden, die die Einrichtungen für ihren Geschäftsbetrieb oder die Erbringung ihrer Dienste benötigen. Ziel der Regulierung ist es, Wirtschaft und Gesellschaft insgesamt gegen Gefährdungen resilienter zu machen, die aus der zunehmenden Digitalisierung ihrer Versorgungsprozesse folgen.[8] Demgegenüber dienen die Vorgaben aus Art. 32 DS-GVO nur dem Schutz der Betroffenen, deren personenbezogene Daten verarbeitet werden.[9] Für den Bereich der Verarbeitung personenbezogener Daten ist Art. 32 DS-GVO also die speziellere Norm. Da die DS-GVO jedoch keinen sektorspezifischen Rechtsakt darstellt, sondern ebenfalls sektorübergreifend gilt, greift der Anwendungsvorrang aus Art. 4 für sie nicht. Art 32 DS-GVO muss also neben den Anforderungen der NIS-2 beachtet werden. Art.  2 Abs.  12 stellt insoweit auch klar, dass die Regelungen der DS-GVO durch die NIS-2 unberührt bleiben. Doch selbst wenn Einrichtungen sowohl die Anforderungen des Art.  32 DS-GVO als auch die der Richtlinie erfüllen müssen, wird dies i.d.R. nicht zu Problemen führen. Denn im Ergebnis stellen beide Regelungen auf die klassischen IT-Sicherheitsschutzziele Verfügbarkeit, Integrität und Vertraulichkeit ab[10], so dass Maßnahmen zu Erreichung der Ziele beider Regelungen in der Mehrzahl der Fälle nicht in Konflikt miteinander geraten werden, sondern sogar gleichlaufend sind.[11]

5. Zwischenfazit

Mit der NIS-2 versucht der europäische Gesetzgeber, das Modell sektoraler Spezialregelung ein Stück weit zugunsten einer allgemeinen Regulierung der Netz- und Informationssicherheit für Unternehmensprozesse aufzugeben. NIS-2 stellt den Kern dieser Regulierung dar. Angesichts der Ausnahmen für Finanzunternehmen, für die mit DORA eine neue sektorspezifische Regulierung erlassen wurde, wird dieser Weg jedoch nur halbherzig beschritten. Gleichwohl sendet die Aufhebung der Sonderregelungen für die IT-Sicherheit in eIDAS-VO und TK-Kodex ein wichtiges Zeichen in Richtung einer überfälligen Vereinheitlichung des EU-Informationssicherheitsrechts. Im Hinblick auf die verbleibenden Überschneidungen ist es zu begrüßen, dass die Kommission nach Art. 4 Abs. 3 bis zum 17.07.2023 Leitlinien zur Anwendung der lex-specialis-Regeln für sektorspezifische Rechtsakte veröffentlichen muss.

II. Verpflichtung für Einrichtungen

Die NIS-2 sieht eine Reihe von Pflichten für verschiedene Einrichtungen vor. Dabei verwendet sie den Begriff der „Einrichtungen“ uneinheitlich. Meistens bezeichnet sie damit Organisationen bzw. Körperschaften, die bestimmte Pflichten treffen (z.B. Absicherungs- und Meldepflichten in Artt. 21 und 23). Vereinzelt wird der Begriff jedoch auch als rein technische Einrichtung (z.B. Internet-Knoten in Art. 6 Nr. 18) verwendet.

Die verpflichteten Einrichtungstypen lassen sich grob in drei Gruppen mit verschiedenen Rahmenbedingungen gliedern: 1. die wesentlichen Einrichtungen, 2. die wichtigen Einrichtungen und 3. die Domänennamen-Registrierungsdienste. Letzte trifft praktisch nur die Pflicht, die Domänennamen-Registrierungsdaten nach Art. 28 in der Domänennamen-Registrierungsdatenbank zu sammeln und zu pflegen, sowie auf berechtigte Anträge hin den Zugang dazu zu ermöglichen. Zudem müssen sie den zuständigen Behörden bestimmte Daten nach Art. 27 Abs. 2 übermitteln, zu denen etwa die Namen der Einrichtung, ihre Anschrift und Kontaktdaten oder die ihres für die EU zu benennenden Vertreters (wenn sie hier keinen Hauptsitz haben) und ihre IP-Adressbereiche gehören.

1. Unterschiede NIS-RL und NIS-2

Die wesentlichen und wichtigen Einrichtungen sind dagegen einer der größten Unterschiede zur NIS-RL. Diese machte Vorgaben für die Betreiber wesentlicher Dienste und legte die Sektoren fest, zu denen sie gehörten, überließ die genaue Festlegung, wann ein Dienst wesentlich ist, jedoch den Mitgliedstaaten. Hier geht die NIS-2 einen anderen Weg. Über die sog. „Size-Cap-Rule“ gibt sie selbst vor, ab welcher Größe eine Einrichtung als wesentlich oder wichtig einzuordnen ist, wenn sie einer der in Anhang I oder II zugeordneten Einrichtungsarten aus den nun insgesamt 11 besonders kritischen und 7 kritischen Sektoren entspricht. Die zweite von der NIS-RL regulierte Gruppe, der „Anbieter digitaler Dienste“, ist nun ein eigener Sektor in Anhang II NIS-2 und wird inhaltlich leicht verändert. Nach der NIS-RL gehören dazu noch Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Cloud-Computing-Diensten. Mit der NIS-2 werden die Anbieter von Cloud-Computing-Diensten in den Sektor „Digitale Infrastruktur“ in Anhang I Nr. 8 verschoben und ihre Stelle im Sektor „Digitale Dienste“ durch die „Anbieter von Plattformen für Dienste sozialer Netzwerke“ eingenommen.

Neu ist auch, dass die NIS-2 deutlich mehr Sektoren, Teilsektoren und Einrichtungsarten umfasst als die NIS-RL. Drei Sektoren mit hoher Kritikalität sind neu dazugekommen: Der Sektor „Verwaltung von IKT-Diensten (Business-toBusiness)“ mit Anbietern verwalteter Dienste und verwalteter Sicherheitsdienste. Sektor 10 „öffentliche Verwaltung“ enthält Einrichtungen der Zentralregierungen und der öffentlichen Verwaltung auf regionaler Ebene. Dazu zählen nach Art. 6 Nr. 35 lit. d) jedoch nur solche, die Entscheidungen treffen dürfen, die die Binnenmarktfreiheit natürlicher oder juristischer Personen berühren. Es ist also nicht jede Form öffentlicher Verwaltung reguliert. Hintergrund ist, dass die EU den Erlass der NIS-2 auf ihre Binnenmarktkompetenz aus Art.  114 AEUV stützt und den Mitgliedstaaten keine Vorgaben für deren eigene Verwaltung machen kann, wenn diese keinen Binnenmarktbezug aufweist. Sektor 11 „Weltraum“ umfasst die Betreiber von Bodeninfrastrukturen zur Unterstützung weltraumgestützter Dienste, der jedoch nur auf europäischer Ebene neu ist, da die Bodenstationen für Satelliten-Navigationssysteme im deutschen Recht bereits als Kritische Infrastrukturen nach Anhang 7 Teil 3 Spalte A Nr. 1.7.2. BSI-KritisV eingestuft sind.

Neue Teilsektoren wurden im Sektor „Energie“ in Anhang I hinzugefügt: Namentlich die Teilsektoren „Fernwärme und -kälte“ sowie „Wasserstoff“. Im dt. Recht wird jedenfalls die Fernwärmeversorgung bereits nach Anhang 1 Teil 3 Spalte A Nr. 4 BSI-KritisV als KRITIS angesehen. Auch die neuen Einrichtungsarten im Sektor „Energie“ sind teilweise, wie z.B. Energieerzeugungsanlagen, bereits im dt. Recht als KRITIS erfasst, so dass sich insoweit keine fundamentalen Neuerungen ergeben. Gleiches gilt im Sektor „Digitale Infrastrukturen“ für die Einrichtungsarten Rechenzentrumsdienste, Betreiber von Inhaltszustelldiensten (Content-Delivery-Networks), Vertrauensdiensteanbieter und Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste.

Die sonstigen kritischen Sektoren nach Anhang II sind – bis auf 6. digitale Dienste – gegenüber der NIS-RL völlig neu. Dazu gehören: 1. Post- und Kurierdienste, 2. Abfallbewirtschaftung, 3. Produktion, Herstellung und Handel mit chemischen Stoffen, 4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln, 5. Verarbeitendes Gewerbe/Herstellung von Waren, 6. Forschung. Auch hier sind Teile davon, wie etwa der Bereich Lebensmittelvertrieb oder Siedlungsabfallentsorgung,[12] bereits als KRITIS im dt. Recht reguliert.

Die von der NIS-2 erstmals vorgenommene Unterscheidung nach Sektoren mit besonders hoher Kritikalität in Anhang I und hoher Kritikalität in Anhang II spielt vor allem dabei eine Rolle, ob Einrichtungen als wesentlich oder als wichtig angesehen werden.

2. Einrichtungstypen – wesentlich und wichtig

Ob eine Einrichtung wesentlich ist oder wichtig, hängt von drei Faktoren ab: 1. ob sie als Betreiber Kritischer Infrastruktur eingestuft ist, 2. dem Sektor, dem sie angehört und 3. der Unternehmensgröße. Damit verabschiedet sich die NIS-2 vom Ansatz der Versorgungskennzahlen, den im deutschen Recht die BSI-KritisV aufgegriffen hat, und gibt ihn in vielen Bereichen zugunsten einer einfachen Unternehmensgrößenbetrachtung auf (vgl. Art. 3).

Am einfachsten ist das für die Einrichtungen in den sonstigen kritischen Sektoren gem. Anhang II NIS-2. Als wesentlich gilt in dem Bereich nach NIS-2 nur, wer bisher als KRITIS galt oder i.R.d. Umsetzung der CER-RL als KRITIS gilt. Alle anderen Einrichtungen in diesen Sektoren gelten nach europäischem Recht als wichtig, wenn sie mittlere Unternehmen sind, also mehr als 50 Mitarbeiter oder mehr als 10 Mio. € Jahresumsatz bzw. Bilanzsumme haben.

Etwas komplexer wird es in den Sektoren mit besonders hoher Kritikalität nach Anhang I NIS-2. Auch hier gelten alle Einrichtungen als wesentlich, die bisher oder nach Umsetzung der CER-RL als KRITIS gelten. Bei Einrichtungen, die nicht KRITIS sind, richtet sich die Einstufung nach den Sektoren bzw. der Einrichtungsart, der sie angehören, und der Unternehmensgröße. So sind Einrichtungen der Arten „Qualifizierter Vertrauensdiensteanbieter“, „DNS-Diensteanbieter (ohne Root-Namensserver)“, „TLD-Namensregister“ und „Zentralregierungen“ unabhängig von ihrer Größe wesentliche Einrichtungen i.S.d. NIS-2. Einrichtungen in den Sektoren Energie (Nr. 1), Verkehr (Nr. 2), Bankwesen (Nr. 3), Finanzmarktinfrastrukturen (Nr. 4), Gesundheitswesen (Nr. 5), Trinkwasser (Nr. 6), Abwasser (Nr. 7), Verwaltung von IKT-Diensten (Nr. 9) und Weltraum (Nr. 11) gelten als wesentlich, wenn sie Großunternehmen sind, also mehr als 250 Mitarbeiter oder einen Jahresumsatz bzw. eine Bilanzsumme von mehr als 50 Mio. € haben. Sind die Unternehmen in diesen Sektoren nur mittlere Unternehmen, so gelten sie als wichtig. Kleine und Kleinstunternehmen in diesen Sektoren fallen nicht als wesentliche oder wichtige Einrichtung unter die NIS-2.

Im Sektor „Digitale Infrastruktur“ (Nr. 8) zerfasert die Einteilung am stärksten nach Teilsektoren und Unternehmensgrößen. So sind Anbieter öffentlicher elektronischer Telekommunikationsnetze und öffentlich zugänglicher Telekommunikationsdienste schon wesentliche Einrichtungen, wenn sie mittlere Unternehmen sind, und wichtige Einrichtungen, wenn sie Klein- oder Kleinstunternehmen sind – sofern die Mitgliedstaaten dies nicht anders regeln. Betreiber von Internetknoten, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten und Betreiber von Content-Delivery-Netzwerken (CDN) gelten dagegen als wesentliche Einrichtungen, wenn sie Großunternehmen sind, und als wichtige Einrichtungen, wenn sie mittlere Unternehmen sind. Anbieter nicht-qualifizierter Vertrauensdienste wiederum gelten als wesentlich, wenn sie Großunternehmen sind, und als wichtig, wenn sie kleiner sind (also auch Klein- oder Kleinstunternehmen). Im Sektor „öffentliche Verwaltung“ (Nr. 10) gelten die Einrichtungen auf regionaler Ebene als wichtige Einrichtung.

Die Mitgliedstaaten dürfen i.R.d. Umsetzung abweichende Regelungen treffen und Einrichtungen unabhängig von der Größe erfassen oder als höherwertige Einrichtungen (z.B. wesentlich statt wichtig) einstufen (z.B. weil einziger Anbieter) – auch Klein- und Kleinstunternehmen. Warum die NIS-2 zwischen den Sektoren und Einrichtungsarten bei der Größe differenziert, ist nicht ersichtlich. Dies gilt insbesondere, wenn man sich anschaut, welche Folgen die Einordnung als „wesentliche Einrichtung“ oder als „wichtige Einrichtung“ überhaupt hat.

3. Verpflichtungen

NIS-2 sieht wie schon die NIS-RL einige Pflichten für die wesentlichen und wichtigen Einrichtungen vor. Interessanterweise differenziert sie dabei nicht nach wesentlichen oder wichtigen Einrichtungen. Unterschiede zwischen beiden gibt es erst auf der Ebene der Aufsichts- und Durchsetzungsmaßnahmen. Die Pflichten unterscheiden sich nur bei einigen Einrichtungsarten bzw. Sektoren.

a) Risikomanagement

Art.  21 Abs.  1 verpflichtet wesentliche und wichtige Einrichtungen zu geeigneten und verhältnismäßigen, technischen, operativen und organisatorischen Maßnahmen zur Beherrschung der Risiken für die Sicherheit ihrer Netz- und Informationssysteme, die sie für ihren Betrieb oder die Erbringung ihrer Dienste nutzen. Dazu gehört, dass die Auswirkungen von Sicherheitsvorfällen verhindert oder minimiert werden können. Bis auf die neu hinzugetretenen „operativen“ Maßnahmen bewegt sich die Regelung im üblichen Rahmen für gesetzliche Absicherungspflichten. Zu beachten wird dabei für bisherige KRITIS-Anbieter sein, dass sie nun nicht mehr nur hinsichtlich der IT zur Absicherung verpflichtet werden, die für den Betrieb einzelner Anlagen und die Erbringung der kritischen Dienstleistung benötigt werden[13], sondern hinsichtlich der gesamten IT, die für den Betrieb des Unternehmens oder die Diensteerbringung notwendig ist. Was die operativen Maßnahmen in Abgrenzung zu den üblichen technischen und organisatorischen Maßnahmen sein sollen, bleibt unklar. Bei der Wahl der Maßnahmen ist der Stand der Technik ebenso zu berücksichtigen wie einschlägige Normen und das Risiko im Verhältnis zu den Kosten der Maßnahmen. Als Abwägungsgesichtspunkte führt Art. 21 Abs. 1 UAbs. 2 S. 2 die Risikoexposition und Größe der Einrichtung sowie die möglichen gesellschaftlichen und wirtschaftlichen Auswirkungen von Vorfällen an. Abs.  2 erläutert sodann, dass ein Allgefahrenansatz verfolgt wird[14] und welche Maßnahmen mindestens zu ergreifen sind. Dazu gehören u.a. Sicherheitskonzepte, Maßnahmen zur Vorfallsbewältigung, BCM und Krisenmanagement, die Sicherheit der Lieferkette, Maßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen nebst Schwachstellenmanagement, Konzepte zur Bewertung der Wirksamkeit der Sicherheitsmaßnahmen, Maßnahmen der personellen Sicherheit, Multifaktor-Authentifizierung und Kryptografie sowie sog. „grundlegende Verfahren im Bereich Cyberhygiene und Schulungen“ und Notfallkommunikationssysteme. Dieses Konvolut an Maßnahmen irritiert, da es eine eher willkürliche Ansammlung von Einzelmaßnahmen enthält. Manche Wortschöpfungen – wie die Verfahren der Cyberhygiene – lassen den Leser ratlos zurück, da sie im Ergebnis scheinbar das abdecken sollen, was man Informationssicherheitsmanagement und Absicherungsmaßnahmen nennt. Bei einigen Maßnahmen wie der Lieferkettensicherheit (Abs. 2 lit. d) und der Berücksichtigung der Sicherheit der IT-Entwicklungsprozesse bei den eingesetzten Produkten (Abs. 3) fragt man sich, wie das bei Standardsoftware praktisch funktionieren soll. Vielleicht helfen hier die Durchführungsrechtsakte, die die Kommission gem. Abs.  5 bis 17.10.2024 für die technischen und methodischen Anforderungen an die Maßnahmen für DNS-Diensteanbieter, TLD-Namensregister, Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, CDN-Betreiber, Anbieter verwalteter Dienste und verwalteter Sicherheitsdienste, Anbieter von Online-Marktplätzen, Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter erlassen muss. Für die übrigen Sektoren und Einrichtungen kann die Kommission Durchführungsrechtsakte erlassen und soll sich dabei an Normen und technischen Spezifikationen orientieren. Es bleibt abzuwarten, ob sie von der Möglichkeit Gebrauch macht.

Die Kommission kann zudem dahingehende delegierte Rechtsakte erlassen und die Mitgliedstaaten können die Einrichtungen verpflichten, spezielle und nach europäischen Cybersicherheitsschemata i.S.d. CSA[15] zertifizierte IKT-Produkte, -Dienste und Prozesse einzusetzen, um so die Erfüllung der Anforderungen des Art. 21 nachzuweisen (Art. 24).

Um sich über Gefahren und Absicherungsmaßnahmen zu informieren, sollen die Einrichtungen und ihre Lieferanten und Dienstleister gem. Art.  29 auf freiwilliger Basis Informationen untereinander austauschen können. Grundlage sollen gem. Art.  29 Abs.  2 Vereinbarungen sein, über deren Abschluss oder Aufhebung die Einrichtungen die zuständigen Behörden nach Abs. 4 unterrichten sollen. Der Sinn der Unterrichtungspflicht erschließt sich nicht und es ist fraglich, ob diese Formalie einen negativen Anreiz für den freiwilligen(!) Informationsaustausch darstellen wird.

b) Meldungen Art. 23

Wie schon in der NIS-RL gibt es in Art. 23 eine Meldepflicht für erhebliche Sicherheitsvorfälle, also solche, die schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die Einrichtungen verursachen oder verursachen können oder die Dritte durch erhebliche materielle oder immaterielle Schäden beeinträchtigen oder dies können. Dafür sieht Art.  23 Abs.  4 nunmehr ein dreistufiges Meldeverfahren vor. Es ist unverzüglich, aber spätestens innerhalb von 24 Stunden, eine Frühwarnung nebst Einschätzung zu u.a. grenzüberschreitenden Wirkungen abzugeben. Unverzüglich, aber spätestens nach 72 Stunden, muss dann eine Aktualisierungsmeldung mit einer ersten Vorfallsbewertung erfolgen. Spätestens nach einem Monat ist ein Abschlussbericht fällig mit Vorfallsbeschreibung, Angaben zu Schwere und Ursachen, ergriffenen und laufenden Abhilfemaßnahmen und ggf. grenzüberschreitenden Auswirkungen des Vorfalls. Ist der Vorfall nach einem Monat noch nicht beendet, muss anstelle des Abschlussberichts ein Fortschrittsbericht gegenüber der zuständigen Behörde abgegeben werden. Gleiches gilt, wenn die Behörde einen Zwischenbericht anfordert.

Über delegierte Rechtsakte kann die Kommission Art der Angaben, Format und Verfahren für die Meldungen festlegen. Zudem muss sie bis zum 17.10.2024 per delegiertem Rechtsakt konkretisieren, wann ein Sicherheitsvorfall für die Einrichtungen erheblich ist, für die sie bis dahin auch die technischen Maßnahmen nach Art. 21 konkretisieren soll (s.o.). Für die übrigen Sektoren und Einrichtungen kann sie dies tun.

c) Vertreterbenennung und Registrierungspflicht

Wie schon die NIS-RL sieht auch Art.  26 Abs.  3 vor, dass bestimmte Einrichtungen ohne Niederlassung in der EU, einen Vertreter in einem der Mitgliedstaaten benennen, in dem sie ihre Dienste anbieten. Die Pflicht trifft DNS-Diensteanbieter, TLD-Namenregister, Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, Anbieter von Cloud-ComputingDiensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen oder -Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke. Es bleibt abzuwarten, ob diese Vertreterpflicht diesmal umgesetzt wird. Für die Pflicht aus Art. 18 Abs. 2 NIS-RL wurde das in Deutschland nicht gemacht.[16]

Zudem müssen dieselben Einrichtungen nach Art. 27 den zuständigen Behörden eine Reihe von Informationen für ein Einrichtungsregister bei der ENISA übermitteln. Dazu gehören z.B. Namen der Einrichtung, Angaben zum Sektor, Teilsektor oder Einrichtungsart, Anschriften und Kontaktdaten der Einrichtung oder ihrer Vertreter.

III. Aufsichts- und Durchsetzungsregime

Änderungen gegenüber den bisherigen Regelungen der NIS-RL bringt die NIS-2 auch beim Aufsichts- und Durchsetzungsregime. Hier gibt es grundsätzlich drei Elemente: Die allgemeinen Aufsichts- und Durchsetzungsmaßnahmen der Behörden, die Bußgelder und die explizite Verantwortlichkeit der Leitungsorgane gegenüber ihren jeweiligen Einrichtungen.

1. Aufsichtsbehördliche Maßnahmen

Während die NIS-RL sich bei der Beschreibung der Aufsichtsmaßnahmen noch weitgehend auf eine allgemeine Kontrollbefugnis (Art. 15 Abs. 1 NIS-RL), Auskunftsrechte (Art. 15 Abs. 2 und Art. 17 Abs. 2 lit a) NIS-RL) und das Recht zur Anordnung der Mängelbeseitigung (Art. 15 Abs. 3 und Art. 17 Abs. 2 lit. b) NIS-RL) beschränkte, ist das Instrumentarium in der NIS-2 deutlich ausgeweitet und in den Artt. 32 und 33 sehr breit beschrieben worden. Dabei weisen die verschiedenen Maßnahmen teilweise keine klare Abgrenzung auf. Abgrenzen lassen sich nur die Aufsichts- von den Durchsetzungsmaßnahmen.

a) Aufsichtsmaßnahmen

Die Aufsichtsmaßnahmen sind für wesentliche Einrichtungen in den Art.  32 Abs.  2 und für wichtige in Art.  33 Abs.  2 beschrieben. Das Instrumentarium ist dabei für beide Einrichtungstypen fast deckungsgleich. Jedoch zielen die Instrumente für wichtige Einrichtungen häufiger auf eine nachträgliche und anlassbezogene Aufsicht ab.

So dürfen die Aufsichtsbehörden bei wesentlichen und wichtigen Einrichtungen Vor-Ort-Kontrollen durchführen und externe Aufsichtsmaßnahmen von geschulten Fachleuten durchführen lassen. Jedoch sieht Art. 32 Abs. 2 lit. a) Stichprobenkontrollen durch Externe vor, während Art. 33 Abs. 2 lit.  a) nur nachträgliche externe Aufsichtsmaßnahmen enthält. Anlass für nachträgliche Kontrollen können nach Art. 33 Abs. 1 z.B. Hinweise auf Verstöße der wichtigen Einrichtung gegen die Pflichten aus Artt. 21 und 23 sein.

Die Behörden dürfen nach den Abs. 2 lit. b) auch gezielte Sicherheitsüberprüfungen selbst oder durch eine unabhängige Stelle vornehmen, wobei die Überprüfung nur bei wesentlichen Einrichtungen regelmäßig erfolgen soll. Da die Aufsichtsmaßnahmen bei wichtigen Einrichtungen ohnehin weitgehend anlassbezogen sind, sieht Art.  32 Abs.  2 lit.  c) auch nur für wesentliche Einrichtungen eine explizite Befugnis zur anlassbezogenen Ad-Hoc-Prüfung vor.

Die Aufsicht darf bei allen Einrichtungen Sicherheitsscans durchführen, ggf. auch in Zusammenarbeit mit den jeweiligen Einrichtungen (Art.  32 Abs.  2 lit. d), Art.  33 Abs.  2 lit. c). In begrenztem Umfang darf dies das BSI nach § 7b BSIG bei einigen Einrichtungen auch schon heute.

Zudem darf die Aufsicht Informationen für die Bewertung der ergriffenen Cybersicherheitsmaßnahmen und Überprüfung der Verpflichtung zur Datenübermittlung nach Art.  27 verlangen. Dabei ist für wichtige Einrichtungen wieder einmal nur eine nachträgliche – also anlassbezogene – Bewertung vorgesehen. Daneben ist für beide Einrichtungsarten ein Recht der Aufsicht auf Zugang zu aufsichtsrelevanten Daten, Dokumenten und sonstigen Informationen vorgesehen und die Befugnis, Nachweise für die Umsetzung der Cybersicherheitskonzepte zu verlangen. Inwiefern sich das sauber vom zuvor genannten Recht abgrenzen soll, Informationen für die Bewertung der Cybersicherheitsmaßnahmen zu verlangen, bleibt unklar.

b) Durchsetzungsmaßnahmen

Neben den Aufsichtsmaßnahmen sehen Art.  32 Abs.  4 und 5 Durchsetzungsmaßnahmen gegenüber wesentlichen und Art. 33 Abs. 4 gegenüber wichtigen Einrichtungen vor.

So soll die Aufsicht „Warnungen über die Verstöße“ der Einrichtungen gegen die NIS-2 herausgeben (Abs. 4 lit. a)) oder diese zur öffentlichen Bekanntgabe von Aspekten der Verstöße anweisen (Art. 32 Abs. 4 lit. h), Art. 33 Abs. 4 lit. g)) können.

Zudem sollen die Einrichtungen angewiesen werden können, die juristischen oder natürlichen Personen, für die sie Dienste oder Tätigkeiten erbringen und die potenziell von einer Cyberbedrohung betroffen sind, über die Bedrohung und von den Betroffenen ergreifbare Abhilfemöglichkeiten zu unterrichten (jeweils Abs. 4 lit. e)). Dies dürfte jedoch hauptsächlich in den Sektoren relevant sein, in denen es um Dienste bzw. Tätigkeiten mit IT-Bezug geht, da primär dort Cyberbedrohungen für deren Kunden vorkommen können.

Es sind auch einige Anweisungsrechte vorgesehen, die sich nicht sauber gegeneinander abgrenzen lassen. So dürfen die Behörden verbindliche Anweisungen zur Beseitigung von Mängeln und Verstößen gegen die Richtlinie (Abs. 4 lit. b)) ebenso erlassen wie Anweisungen, das gegen die NIS-2 verstoßende Verhalten einzustellen und nicht zu wiederholen (Abs. 4 lit. c)) oder Anweisungen, entsprechend bestimmter Vorgaben sicherzustellen, dass die Pflichten aus Artt. 21 und 23 erfüllt werden (Abs. 4 lit. d)). Hier hätte vermutlich die Befugnis nach Artt. 32/33 Abs. 4 lit. c) – ggf. erweitert um die Möglichkeit bestimmter Vorgaben – ausgereicht. Das gilt nicht für die in Art. 32 Abs. 4 lit. b) vorgesehene Befugnis nur gegenüber wesentlichen(!) Einrichtungen zur verbindlichen Anweisung von Maßnahmen zur Verhütung und Behebung eines Sicherheitsvorfalles unter Fristsetzung und mit Pflicht zur Berichterstattung über die Durchführung.

Die Aufsicht kann alle Einrichtungen auch unter Fristsetzung anweisen, die Empfehlungen aus einer Sicherheitsüberprüfung umzusetzen (jeweils Abs. 4 lit. f)).

Neben diesen weitgehend gegenüber allen Einrichtungen geltenden Befugnissen sind einige nur für wesentliche Einrichtungen vorbehalten, so etwa die befristete Benennung eines Beauftragten, der mit konkretem Aufgabenauftrag versehen die Einhaltung der Pflichten nach Artt. 21 und 23 überwachen soll. Wie das genau ablaufen soll und wie die Aufgaben weiter konkretisiert werden sollen, lässt die Richtlinie offen. Es bleibt daher abzuwarten, ob dies in den nationalen Umsetzungen oder erst in der Verwaltungspraxis beantwortet wird.

Sollten sich die bisher dargestellten Befugnisse gegenüber einer wesentlichen Einrichtung als unwirksam erweisen, sieht Art. 32 Abs. 5 zwei ultimative Durchsetzungsmittel vor. So können Zertifizierungen oder Genehmigungen für manche oder alle von der Einrichtung erbrachten einschlägigen Dienste oder Tätigkeiten vorübergehend ausgesetzt werden. Zudem soll die Möglichkeit bestehen, einzelnen leitenden Personen zu untersagen, Leitungsaufgaben in der Einrichtung wahrzunehmen. Faktisch kann also ein Tätigkeitsverbot für einzelne Personen der Leitungsebene ausgesprochen werden. Diese ultimativen Befugnisse dürfen gem. Art. 32 Abs. 5 UAbs.  2 jedoch nur bis zur Zielerreichung genutzt werden. Zudem gelten sie nicht gegenüber Einrichtungen der öffentlichen Verwaltung. Dass gerade diese ausgenommen werden, ist angesichts der Historie von Cybersicherheitsvorfällen im Bereich der öffentlichen Verwaltung jedoch zweifelhaft.

2. Bußgelder

a) Bußgeldhöhe

Auch Art. 21 NIS-RL enthielt bereits die Verpflichtung der Mitgliedstaaten, Sanktionen vorzusehen, die „wirksam, angemessen und abschreckend sein“ sollten, überließ es aber den Mitgliedstaaten, wofür und in welcher Höhe Bußgelder vorgesehen werden. In Deutschland bedeutete das damals, dass Bußgelder für Kritische Infrastrukturen nach §  14 BSIG bis zu maximal 100.000  € verhängt werden konnten. Dies war für einige Verpflichtete nicht abschreckend und damit keine wirksame Umsetzung.[17] Daher und weil die Wertungswidersprüche darüber, was wirksam, angemessen und abschreckend ist, mit Blick auf die Bußgeldhöhen der DS-GVO offenbar wurden, erhöhte der deutsche Gesetzgeber mit dem IT-Sicherheitsgesetz 2.0 den Bußgeldrahmen in §  14 BSIG auf bis zu 2 Mio. €. Unter Verweis auf § 30 Abs. 2 S. 3 OWiG könnten diese verzehnfacht werden. Von einer Anknüpfung der Bußgeldhöhen an die prozentualen Jahresumsätze der Unternehmen hat der Gesetzgeber damals im BSIG aber noch Abstand genommen. Damit ist wegen Art.  34 nun Schluss. Die Höchstbeträge der Bußgelder für wesentliche Einrichtungen werden in Art. 34 Abs. 4 auf mindestens 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes erhöht, je nachdem, was höher ist. Bei den wichtigen Einrichtungen sollen die Bußgelder am oberen Ende gem. Art. 34 Abs. 5 mindestens 7 Mio. € oder – falls höher – 1,4 % des weltweiten Jahresumsatzes betragen. Art.  34 Abs.  1 zwingt die Mitgliedstaaten, diese Sanktionen und damit auch die nach dem weltweiten Jahresumsatz berechnete Geldbuße bei der Umsetzung der NIS-2 in das nationale Recht nachzuvollziehen. Eine Abweichung wäre allenfalls nach oben zulässig. Es bleibt abzuwarten, welche weiteren Auswirkungen das auf die Bußgeldregelungen im nationalen Recht haben wird, da jedenfalls die absoluten Mindestbeträge der NIS-2 hinter den bereits bestehenden maximalen Bußgeldhöhen des § 14 BSIG (bis zu 20 Mio. €) zurückbleiben. Da die Betreiber von öffentlichen Telekommunikationsnetzen je nach Größe ebenfalls als wesentliche oder wichtige Einrichtungen nach der NIS-2 gelten, müssten die Bußgeldregelungen des TKG ebenfalls angepasst werden, da eine Bebußung fehlender Absicherungsmaßnahmen in § 228 TKG bisher nicht enthalten ist und die Bußgeldrahmen noch nicht den Anforderungen der NIS-2 entsprechen.

b) Ausnahmen für die öffentliche Verwaltung?

Wie schon die DS-GVO überlässt auch Art. 34 Abs. 7 den Mitgliedstaaten, ob sie auch Bußgelder gegenüber Einrichtungen der öffentlichen Verwaltung erlauben. Dies ist insofern bedenklich, als die Durchsetzung von Aufsichtsmaßnahmen gegen Einrichtungen der öffentlichen Verwaltung ohnehin schwierig ist, weil Zwangsgelder wegen §  17 VwVG gegen Behörden und juristische Personen des öffentlichen Rechts nicht verhängt werden können. U.a. auch deshalb hat der Gesetzgeber mit dem IT-Sicherheitsgesetz 2.0 die Bußgeldtatbestände für KRITIS-Betreiber ausgeweitet, da nur so ein Gesetzesvollzug gegenüber Betreibern in öffentlich-rechtlichen Rechtsformen möglich war.[18] Es bleibt daher abzuwarten, ob der Gesetzgeber diesen Weg i.R.d. Umsetzung der NIS-2 fortsetzt und Geldbußen gegen Einrichtungen der öffentlichen Hand zulässt oder sich, wie bei der DS-GVO, dagegen entscheidet und damit bewusst das Risiko eingeht, dass diese die gesetzlichen Anforderungen nicht erfüllen. Angesichts der zunehmenden Zahl an Vorfällen bei öffentlichen Einrichtungen und deren Wichtigkeit für die gesamtstaatliche Funktionsfähigkeit wäre dies ein fatales Signal.

c) Verhältnis zu Geldbußen der Datenschutzaufsicht

Art.  35 klärt das Verhältnis der Aufsichtsbehörden nach der NIS-2 zu den Datenschutzaufsichtsbehörden und deren Geldbußen. Das ist begrüßenswert, da z.B. fehlende Sicherheitsmaßnahmen nach NIS-2 oft auch einen Verstoß gegen Art. 32 DS-GVO darstellen werden, sofern es um personenbezogene Daten geht. Angesichts der hohen Bußgeldandrohungen von DS-GVO und NIS-2 könnte es sonst sehr schnell zu existenzbedrohenden Bußgeldern kommen, wenn eine unterlassene Maßnahme zur Sanktion sowohl nach DS-GVO als auch NIS-2 führen würde. Daher stellt Art. 35 Abs. 2 klar, dass die NIS-2-Aufsichtsbehörden keine Bußgelder nach Art.  34 verhängen dürfen, wenn die Datenschutzaufsichtsbehörden für das gleiche Verhalten bereits eine verhängt haben. So klar die Regelung auch scheint, wird man dennoch auf die Verwaltungspraxis gespannt sein müssen. Denn es stellt sich die Frage, wie lange NIS-2-Aufsichtsbehörden auf eine Reaktion der Datenschutzaufsicht warten müssen, bis sie selbst ein Bußgeld verhängen dürfen. Denn Art. 35 Abs. 2 legt eben kein allgemeines Doppel-Sanktionsverbot für den Fall fest, dass wegen des gleichen Sachverhaltes bereits von einer anderen Behörde eines verhängt wurde. Vielmehr schreibt die Regelung ein Primat der datenschutzrechtlichen Sanktion fest, das nur die NIS-2-Aufsichtsbehörden an der Verhängung eigener Bußgelder hindert, aber nicht umgekehrt auch die Datenschutzaufsichtsbehörden. Dass ein solches Primat Sinn macht, muss bezweifelt werden, da es bei der NIS-2 u.a. auch um den Schutz kritischer Versorgungsinfrastrukturen geht, deren Beeinträchtigung für die Gesamtgesellschaft sicherlich gravierender wäre als die Beeinträchtigung des Schutzes personenbezogener Daten einzelner Betroffener.

3. Cybersicherheit als Leitungsaufgabe und -risiko

Neu ist in der NIS-2, dass neben der vertikalen Durchsetzung durch die Aufsichtsbehörden erstmals auch eine Durchsetzung auf der horizontalen Ebene festgeschrieben wird. Art.  20 Abs.  1 S. 1 weist der Geschäftsleitung nämlich nicht nur die Pflicht zur Billigung und Überwachung von Risikomanagementmaßnahmen nach Art. 21 zu (Governance), sondern sieht auch vor, dass die Einrichtungen ihre Geschäftsleitung für Verstöße verantwortlich machen können. Im Ergebnis läuft dies auf Schadensersatzansprüche hinaus. Je nach Rechtsform der Einrichtung ist das im dt. Recht nichts Neues, da sich eine solche Haftung der Geschäftsleitung für IT-Sicherheitsverstöße bei der AG bereits aus § 93 Abs. 2 AktG[19] oder der GmbH aus § 43 Abs. 2 GmbHG[20]ergibt. Explizit ausgenommen bleibt davon nach Art. 20 Abs. 1 S. 2 wieder der Bereich der öffentlichen Verwaltung und derer Bediensteter. Die für diese geltenden nationalen Haftungssonderregelungen sollen von der NIS-2 unberührt bleiben.

IV. Fazit

Mit der NIS-2 müssen viele Unternehmen aufgrund ihrer Größe und dem Betrieb entsprechender Einrichtungen erstmals allgemeine IT-Sicherheitspflichten erfüllen und sich dabei beaufsichtigen lassen. Dabei lässt die NIS-2 selbst noch einige Fragen offen und manche Konkretisierungs- und Umsetzungsspielräume für Kommission und Mitgliedstaaten. Es bleibt abzuwarten, wie diese genutzt werden. Nur für bisherige KRITIS-Betreiber wird sich vermutlich nicht viel ändern. Den Rest erwarten Hausaufgaben, mit denen sich die Unternehmen bereits jetzt beschäftigen sollten.

Steve Ritter ist Referatsleiter im Bundesamt für Sicherheit in der Informationstechnik, Mitglied im Vorstand der GDD e.V. und Lehrbeauftragter an der TH Köln.curity, Kap. 6 Rn. 31.

 

[1] Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148, ABl. L 333 vom 27.12.2022, S. 80

[2] Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Cybersicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl. L 194 vom 19.07.2016, S. 1.

[3] Zur Frage, ob die Vollharmonisierung auch für Anbieter digitaler Dienste gilt, die gleichzeitig Betreiber wesentlicher Dienste sind vgl. Ritter/Schulte, CR 2019, 617 ff

[4] Sofern nicht anders angegeben, sind Artikelangaben im Beitrag, solche der NIS-2-RL

[5] Verordnung (EU) 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, ABl. L 257 vom 28.08.2014, S. 73.

[6] Kipker/Reusch/Ritter-Ritter, Recht der Informationssicherheit, § 8d BSIG Rn. 13 u. 16.

[7] Richtlinie (EU) 2018/1972 über den europäischen Kodex für die elektronische Kommunikation, ABl. L 321 vom 17.12.2018, S. 36.

[8] Vgl. ErwG 1 und 3 NIS-2-RL.

[9] Vgl. Kipker-Voskamp, Cybersecurity, Kap. 5 Rn. 1 zur dahingehenden Differenzierung zwischen allg. Informationssicherheit und Datenschutz und -sicherheit.

[10] Vgl. z.B. ErwG 79 NIS-2-RL und Art. 32 Abs. 1 lit. b) DS-GVO. Das in ErwG 79 NIS-2-RL genannte Schutzziel Authentizität ist Bestandteil des Schutzzieles Integrität, s. auch BSI-IT-Grundschutzkompendium 2023, Basis für die Informationssicherheit S. 1 (abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2023.pdf).

[11] Für die alte NIS-RL und Art. 32 schon Schwartmann/Jaspers/Thüsing/Kugelmann-Ritter, DS-GVO/BDSG, 2. Aufl., Art. 32 Rn. 12.

[12] Die Siedlungsabfallentsorgung gehört zu den KRITIS-Sektoren nach §  2 Abs. 10 S. 1 Nr. 1 BSIG. Jedoch fehlt bisher eine Festlegung entsprechender Anlagentypen in der BSI-KritisV.

[13] So z.B. derzeit für die durch § 8a Abs. 1 BSIG verpflichteten KRITIS-Betreiber, vlg. Kipker/Reusch/Ritter-Ritter, Recht der Informationssicherheit, § 8a BSIG Rn. 9.

[14] Es geht also nicht nur um Gefahren durch Cyberbedrohungen, sondern auch durch physische Gefahren für die Netz- und Informationssysteme.

[15] CSA = Cybersecurity Act = Verordnung (EU) 2019/881 über die ENISA und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik, ABl. L 151, S. 15.

[16] Dazu und zu den Rechtsfolgen Ritter, ICLR 2020, 13, 14 f.

[17] Vgl. Begründung zur Bußgelderhöhung in BT-Drs. 19/26106, S. 89 sowie Kipker/Reusch/Ritter-Glade, Recht der Informationssicherheit, §  14 BSIG Rn. 1; Ritter in: Ritter, Die Weiterentwicklung des IT-Sicherheitsgesetzes, Rn. 749.

[18] Ritter, in: Ritter, Die Weiterentwicklung des IT-Sicherheitsgesetzes, Rn. 748.

[19] Voigt, IT-Sicherheitsrecht, 2. Aufl. Rn. 511; Hornung/Schallbruch-Thalhofer, ITSicherheitsrecht, Kap. 16 Rn. 14; Kipker-Schmidt/Tannen, Cybersecurity, Kap. 6 Rn. 29.

[20] Voigt, IT-Sicherheitsrecht, 2. Aufl. Rn. 519 f.; Kipker-Schmidt/Tannen, Cyberse