News

Risikomanagementmaßnahmen besonders wichtiger und wichtiger Einrichtungen und Dokumentationsnachweis nach dem neuen BSIG

Das neue BSIG befindet sich auf der Zielgeraden des Gesetzgebungsverfahrens zur Umsetzung der NIS-2-Richtlinie. Im aktuellen Entwurf legt der dortige § 30 Abs. 1 Satz 1 BSIG fest, dass besonders wichtige und wichtige Einrichtungen verpflichtet sind, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (TOM) zu ergreifen, um u.a. Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Betroffen von dieser Pflicht sind also etwa Unternehmen aus dem Bereich der digitalen Infrastruktur, wie z.B. Anbieter von Cloud-Computing-Diensten oder Betreiber öffentlicher Telekommunikationsnetze, wenn sie entgeltlich Waren oder Dienstleistungen anbieten, mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Mio. EUR und eine Jahresbilanzsummer von 43 Mio. EUR aufweisen und somit als besonders wichtige Einrichtungen gelten. Adressaten dieser Pflicht sind zudem wichtige Einrichtungen, zu denen u.a. Anbieter digitaler Dienste, wie beispielsweise Online-Marktplätze oder soziale Netzwerke gehören, wenn sie Waren oder Dienstleistungen entgeltlich anbieten und mindestens 50 Mitarbeiter oder einen Jahresumsatz und eine Jahresbilanzsummer von jeweils über 10 Mio. EUR aufweisen.

§ 30 Abs. 2 BSIG enthält eine nicht abschließende Liste von Maßnahmen, die als Mindestvorgaben zu verstehen sind. Welche TOMs letztlich zu implementieren sind, hängt allerdings von verschiedenen Faktoren ab, insbesondere von einer vorab durchzuführenden Risikoanalyse, bei der die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen, ihre Auswirkungen sowie einrichtungsbezogene Faktoren zu berücksichtigen sind. Als Mindestmaßnahmen nennt § 30 Abs. 2 BSIG u.a. Konzepte zur Risikoanalyse, Maßnahmen zur Bewältigung von Sicherheitsvorfällen, einen Plan zum Notfall- und Krisenmanagement, Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen, oder Konzepte für die Zugriffskontrolle.

In § 30 Abs. 3 und 4 BSIG wird zudem festgelegt, dass erlassene Durchführungsrechtsakte der Europäischen Kommission zur Festlegung der technischen und methodischen Anforderungen für bestimmte Sektoren Vorrang gegenüber den Regelungen des BSIG aufweisen. Insofern kann es sein, dass diese europäischen Durchführungsrechtsakte z.B. strengere Regelungen enthalten.

Die Umsetzung dieser TOMs ist als Nachweis nach § 30 Abs. 1 Satz 3 BSIG durch die verpflichteten Einrichtungen zu dokumentieren. Eine Nachweispflicht ergibt sich aus § 39 Abs. 1 BSIG auch für Betreiber kritischer Anlagen. Ähnlich wie die DSGVO in Art. 5 Abs. 2 DSGVO erlegt der Gesetzgeber den Betreibern auch im BSIG eine Rechenschaftspflicht auf. Diese Verpflichtung verfolgt unter anderem den Zweck, die in § 61 f. BSIG vom Bundesamt für Sicherheit in der Informationstechnik (BSI) angeforderten Nachweise zur Erfüllung der Pflicht in § 30 Abs. 1 Satz 1 BSIG erbringen zu können. Das BSI wird in § 61 BSIG dazu ermächtigt, sich Nachweise über die Erfüllung von Audits und Prüfungen bezüglich der Umsetzung der Pflichten des § 30 Abs. 1 BSIG (Implementierung von TOMs) oder der Durchführung der Mängelbeseitigung von besonders wichtigen Einrichtungen zu verlangen. Allerdings legt § 61 Abs. 4 BSIG fest, dass das BSI nicht nach Belieben jede besonders wichtige Einrichtung dazu verpflichten kann, sondern vorab eine Risikoeinschätzung vornehmen muss, wobei das Ausmaß der Risikoexposition, die Größe der Einrichtung sowie die Eintrittswahrscheinlichkeit und Schwere von möglichen Sicherheitsvorfällen und ihre gesellschaftlichen und wirtschaftlichen Auswirkungen berücksichtigt werden muss. Nach § 61 Abs. 5 BSIG hat das BSI zudem das Recht, unabhängig von dieser Risikoeinschätzung, jederzeit bei besonders wichtigen Einrichtungen die Einhaltung der Anforderungen des BSIG zu prüfen und sich auf Verlangen die in Betracht kommenden Unterlagen vorlegen lassen kann. Auch gegenüber wichtigen Einrichtungen können solche Maßnahmen angeordnet werden, wenn es Anhaltspunkte dafür gibt, dass diese z.B. eine Pflicht nach § 30 Abs. 1 Satz 1 BSIG nicht umsetzen. Eine zeitliche Grenze für die Dauer der Aufbewahrung von Nachweisen wird im Gesetz nicht erwähnt, sodass sich eine langfristige Verwahrung der Dokumente empfiehlt.

Die Nichteinhaltung dieser Nachweispflichten stellt eine Ordnungswidrigkeit dar (§ 65 Abs. 2 Nr. 2 BSIG), die nach § 65 Abs. 5 Nr. 1 BSIG bei besonders wichtigen Einrichtungen mit einer Geldbuße von bis zu 10 Mio. EUR und bei wichtigen Einrichtungen mit einer Geldbuße von bis zu 7 Mio. EUR geahndet werden kann.

In Anlehnung an praktische Nachweise zur datenschutzrechtlichen Rechenschaftspflicht in Art. 5 Abs 2 DSGVO lässt sich auch die in § 30 Abs. 1 Satz 3 BSIG normierte Dokumentationspflicht durch folgende Nachweise erfüllen:

  • Erstellung einer Liste der implementierten TOMs
  • Benennung einer Verantwortlichkeitsstruktur des Unternehmens mit Verweis auf die Geeignetheit und Zuverlässigkeit der entsprechenden Stellen
  • Implementierung von Unternehmensrichtlinien oder Organisationsanweisungen
  • Schulungskonzepte und Nachweis über durchgeführte Schulungen von Mitarbeitern
  • Checkliste, Merkblätter o.ä.
  • Nachweis bereits erfolgter Behördenprüfungen
  • Nachweis zu durchlaufenen Prüf- oder Zertifizierungsverfahren
  • Unterlagen zu durchgeführten Audits (z.B. Auditberichte)
  • Erfolgte Meldungen von Sicherheitsvorfällen
  • Nachweis über behobene Sicherheitsvorfälle / Schwachstellen
  • Nachweis über durchgeführte Testläufe

Empfehlungen für die Praxis:

Auch wenn das Gesetzgebungsverfahren zum neuen BSIG noch nicht abgeschlossen ist, sollten Unternehmen bereits jetzt Prozesse etablieren, um aktuelle Dokumentationsnachweise zu den TOMs erbringen zu können. Denn die hohen Bußgeldtatbestände zeigen die Wichtigkeit dieser Dokumentationspflichten auf, sodass auch mit der Verhängung empfindlicher Bußgelder zu rechnen ist. Zur Prävention empfiehlt sich deshalb unter anderem eine Bestandsaufnahme der bestehenden TOMs und einen Abgleich mit den Kriterien des § 30 Abs. 1 BSIG durchzuführen. Im Rahmen dieser Evaluation bietet es sich an, die oben genannten Dokumente, wie z.B. eine Liste der bestehenden TOMs oder Unterlagen zu durchgeführten Audits, zu erstellen.

Rechtsanwalt, Associate
Alexander Weiss
Rechtsanwalt, Associate
Alexander Weiss

Zurück

News

Seminarreihe „Piltz Legal Update“ startet

Am 09.09.2022 findet die erste „Piltz Legal Update“ Veranstaltung unter dem Thema „Tracking, Cookies, Advertising – § 25 TTDSG im Fokus“ statt. Dr. Carlo Piltz und Dr. Nina Elisabeth Herbort geben aktuelle Einblicke.

Schnell sein lohnt sich, denn die Teilnehmerzahl ist begrenzt.

Eigentumsvorbehalt weltweit – Rechtliche Praxis in 32 Ländern

Bei Exportgeschäften kann sich der Verkäufer auf einen Eigentumsvorbehalt nur verlassen, wenn das für den ausländischen Käufer jeweils geltende Recht beachtet wird. Das soeben erschienene, von unserem Partner Prof. Dr. Burghard Piltz herausgegebene Buch stellt die rechtliche Praxis in 32 Ländern von Australien bis Ungarn dar.

Dr. Carlo Piltz im Podcast heise meets…. Datenschutz- & Security-Compliance im Unternehmen

Dr. Carlo Piltz war zu Gast im Podcast heise meets… und spricht dort über die wichtigsten rechtlichen Anforderungen zu Datenschutz & Security-Compliance.

Cyberangriffe treffen nicht nur Großkonzerne, auch kleine Unternehmen sind immer häufiger betroffen. Neben technischen Anforderungen sind auch rechtliche Richtlinien erforderlich, um Daten, Mitarbeiter, Kunden und das Unternehmen zu schützen. Die wichtigsten Gesetze und Richtlinien erläutern wir im Podcast und geben Hinweise, was Unternehmen zwingend beachten sollten.

Hier geht es zum Podcast

Reinhören lohnt sich.

Piltz Legal Whitepaper zur Umsetzung der Modernisierungsrichtlinie

Das Umsetzungsgesetz zur Modernisierungsrichtlinie („Mod-RL“) ist am 28. Mai 2022 in Kraft getreten. Die Mod-RL modifiziert die Digitale-Inhalte-Richtlinie sowie die Verbraucherrechte-Richtlinie. Mit der Umsetzung wurden Teile des BGB und EGBGB an die Vorgaben der Mod-RL angepasst. Transparenz- und Informationspflichten stehen dabei im Mittelpunkt, einige Änderungen gibt es auch beim Widerrufsrecht.

Deutschlands beste Anwälte 2022 – Dreifache Auszeichnung für Piltz Legal

Wir freuen uns sehr über drei Auszeichnungen im Ranking „Deutschlands beste Anwälte 2022“ des Handelsblattes in Kooperation mit dem US-Verlag Best Lawyers.

OLG Schleswig-Holstein: keine Pflicht zur Ende-zu-Ende Verschlüsselung bei Geschäftsgeheimnissen

In seinem Urteil vom 28. April 2022 (Az. 6 U 39/21) entschied das Schleswig-Holsteinische Oberlandesgericht, welche Geheimhaltungsmaßnahmen angemessen i. S. v. § 2 Abs. 1 Nr. 1 lit. b GeschGehG sind. Außerdem hat sich das Gericht mit der Frage auseinandergesetzt, ob ein Individualinteresse ein berechtigtes Interesse zur Nutzung des Geschäftsgeheimnisses i. S. v. § 5 GeschGehG begründen kann.