News

Risikomanagementmaßnahmen besonders wichtiger und wichtiger Einrichtungen und Dokumentationsnachweis nach dem neuen BSIG

Das neue BSIG befindet sich auf der Zielgeraden des Gesetzgebungsverfahrens zur Umsetzung der NIS-2-Richtlinie. Im aktuellen Entwurf legt der dortige § 30 Abs. 1 Satz 1 BSIG fest, dass besonders wichtige und wichtige Einrichtungen verpflichtet sind, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (TOM) zu ergreifen, um u.a. Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Betroffen von dieser Pflicht sind also etwa Unternehmen aus dem Bereich der digitalen Infrastruktur, wie z.B. Anbieter von Cloud-Computing-Diensten oder Betreiber öffentlicher Telekommunikationsnetze, wenn sie entgeltlich Waren oder Dienstleistungen anbieten, mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Mio. EUR und eine Jahresbilanzsummer von 43 Mio. EUR aufweisen und somit als besonders wichtige Einrichtungen gelten. Adressaten dieser Pflicht sind zudem wichtige Einrichtungen, zu denen u.a. Anbieter digitaler Dienste, wie beispielsweise Online-Marktplätze oder soziale Netzwerke gehören, wenn sie Waren oder Dienstleistungen entgeltlich anbieten und mindestens 50 Mitarbeiter oder einen Jahresumsatz und eine Jahresbilanzsummer von jeweils über 10 Mio. EUR aufweisen.

§ 30 Abs. 2 BSIG enthält eine nicht abschließende Liste von Maßnahmen, die als Mindestvorgaben zu verstehen sind. Welche TOMs letztlich zu implementieren sind, hängt allerdings von verschiedenen Faktoren ab, insbesondere von einer vorab durchzuführenden Risikoanalyse, bei der die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen, ihre Auswirkungen sowie einrichtungsbezogene Faktoren zu berücksichtigen sind. Als Mindestmaßnahmen nennt § 30 Abs. 2 BSIG u.a. Konzepte zur Risikoanalyse, Maßnahmen zur Bewältigung von Sicherheitsvorfällen, einen Plan zum Notfall- und Krisenmanagement, Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen, oder Konzepte für die Zugriffskontrolle.

In § 30 Abs. 3 und 4 BSIG wird zudem festgelegt, dass erlassene Durchführungsrechtsakte der Europäischen Kommission zur Festlegung der technischen und methodischen Anforderungen für bestimmte Sektoren Vorrang gegenüber den Regelungen des BSIG aufweisen. Insofern kann es sein, dass diese europäischen Durchführungsrechtsakte z.B. strengere Regelungen enthalten.

Die Umsetzung dieser TOMs ist als Nachweis nach § 30 Abs. 1 Satz 3 BSIG durch die verpflichteten Einrichtungen zu dokumentieren. Eine Nachweispflicht ergibt sich aus § 39 Abs. 1 BSIG auch für Betreiber kritischer Anlagen. Ähnlich wie die DSGVO in Art. 5 Abs. 2 DSGVO erlegt der Gesetzgeber den Betreibern auch im BSIG eine Rechenschaftspflicht auf. Diese Verpflichtung verfolgt unter anderem den Zweck, die in § 61 f. BSIG vom Bundesamt für Sicherheit in der Informationstechnik (BSI) angeforderten Nachweise zur Erfüllung der Pflicht in § 30 Abs. 1 Satz 1 BSIG erbringen zu können. Das BSI wird in § 61 BSIG dazu ermächtigt, sich Nachweise über die Erfüllung von Audits und Prüfungen bezüglich der Umsetzung der Pflichten des § 30 Abs. 1 BSIG (Implementierung von TOMs) oder der Durchführung der Mängelbeseitigung von besonders wichtigen Einrichtungen zu verlangen. Allerdings legt § 61 Abs. 4 BSIG fest, dass das BSI nicht nach Belieben jede besonders wichtige Einrichtung dazu verpflichten kann, sondern vorab eine Risikoeinschätzung vornehmen muss, wobei das Ausmaß der Risikoexposition, die Größe der Einrichtung sowie die Eintrittswahrscheinlichkeit und Schwere von möglichen Sicherheitsvorfällen und ihre gesellschaftlichen und wirtschaftlichen Auswirkungen berücksichtigt werden muss. Nach § 61 Abs. 5 BSIG hat das BSI zudem das Recht, unabhängig von dieser Risikoeinschätzung, jederzeit bei besonders wichtigen Einrichtungen die Einhaltung der Anforderungen des BSIG zu prüfen und sich auf Verlangen die in Betracht kommenden Unterlagen vorlegen lassen kann. Auch gegenüber wichtigen Einrichtungen können solche Maßnahmen angeordnet werden, wenn es Anhaltspunkte dafür gibt, dass diese z.B. eine Pflicht nach § 30 Abs. 1 Satz 1 BSIG nicht umsetzen. Eine zeitliche Grenze für die Dauer der Aufbewahrung von Nachweisen wird im Gesetz nicht erwähnt, sodass sich eine langfristige Verwahrung der Dokumente empfiehlt.

Die Nichteinhaltung dieser Nachweispflichten stellt eine Ordnungswidrigkeit dar (§ 65 Abs. 2 Nr. 2 BSIG), die nach § 65 Abs. 5 Nr. 1 BSIG bei besonders wichtigen Einrichtungen mit einer Geldbuße von bis zu 10 Mio. EUR und bei wichtigen Einrichtungen mit einer Geldbuße von bis zu 7 Mio. EUR geahndet werden kann.

In Anlehnung an praktische Nachweise zur datenschutzrechtlichen Rechenschaftspflicht in Art. 5 Abs 2 DSGVO lässt sich auch die in § 30 Abs. 1 Satz 3 BSIG normierte Dokumentationspflicht durch folgende Nachweise erfüllen:

  • Erstellung einer Liste der implementierten TOMs
  • Benennung einer Verantwortlichkeitsstruktur des Unternehmens mit Verweis auf die Geeignetheit und Zuverlässigkeit der entsprechenden Stellen
  • Implementierung von Unternehmensrichtlinien oder Organisationsanweisungen
  • Schulungskonzepte und Nachweis über durchgeführte Schulungen von Mitarbeitern
  • Checkliste, Merkblätter o.ä.
  • Nachweis bereits erfolgter Behördenprüfungen
  • Nachweis zu durchlaufenen Prüf- oder Zertifizierungsverfahren
  • Unterlagen zu durchgeführten Audits (z.B. Auditberichte)
  • Erfolgte Meldungen von Sicherheitsvorfällen
  • Nachweis über behobene Sicherheitsvorfälle / Schwachstellen
  • Nachweis über durchgeführte Testläufe

Empfehlungen für die Praxis:

Auch wenn das Gesetzgebungsverfahren zum neuen BSIG noch nicht abgeschlossen ist, sollten Unternehmen bereits jetzt Prozesse etablieren, um aktuelle Dokumentationsnachweise zu den TOMs erbringen zu können. Denn die hohen Bußgeldtatbestände zeigen die Wichtigkeit dieser Dokumentationspflichten auf, sodass auch mit der Verhängung empfindlicher Bußgelder zu rechnen ist. Zur Prävention empfiehlt sich deshalb unter anderem eine Bestandsaufnahme der bestehenden TOMs und einen Abgleich mit den Kriterien des § 30 Abs. 1 BSIG durchzuführen. Im Rahmen dieser Evaluation bietet es sich an, die oben genannten Dokumente, wie z.B. eine Liste der bestehenden TOMs oder Unterlagen zu durchgeführten Audits, zu erstellen.

Rechtsanwalt, Associate
Alexander Weiss
Rechtsanwalt, Associate
Alexander Weiss

Zurück

News

Eigentumsvorbehalte im Export

Eigentumsvorbehaltsklauseln sind in Verkaufsverträgen und Verkaufs-AGB ein gängiges Mittel zur Sicherung des Kaufpreises. Wie selbstverständlich werden die gleichen Klauseln immer wieder dann auch in Exportverträge übernommen.

NIS-2-Richtlinie: Neue Vorgaben zur Stärkung der Cyberresilienz und -sicherheit

Die am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlichte Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union („NIS-2-Richtlinie“, „NIS-2-RL“) dient der Harmonisierung der Cybersicherheitsvorgaben in der EU und schreibt Unternehmen neue Verpflichtungen im Bereich der Cybersicherheit vor. Sie wird die bisher geltende NIS-Richtlinie ersetzen.

Künstliche Intelligenz-Verordnung der EU: Rat beschließt eigene Position zum Thema

Im April 2021 hat die Europäische Kommission ihren Entwurf für die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz („KI-Verordnung“, „KI-VO-E“) vorgestellt. Mit der Verordnung möchte die EU durch Förderung von Exzellenz im KI-Bereich das Wettbewerbspotenzial Europas stärken. Am 6. Dezember 2022 hat nun der Rat der Europäischen Union seinen gemeinsamen Standpunkt zu der KI-Verordnung beschlossen und zahlreiche Änderungen gegenüber dem Entwurf der Kommission vorgeschlagen.

 

Digital Markets Acts (DMA): Was geht uns das an?

Mit ihrer Verordnung über digitale Märkte (Digital Markets Act, kurz: DMA) hat die Europäische Union einen weiteren Baustein ihrer Digitalstrategie umgesetzt (finaler Gesetzestext vom 14. September 2022).

Die bereits im März 2022 verabschiedete Verordnung, wird ab Mai 2023 vor allem den Betreibern großer digitaler Plattformen zusätzliche wettbewerbs- und kartellrechtliche Verpflichtungen auferlegen.

Cyber Resilience Act – Überblick zu den neuen Cybersicherheitsanforderungen für Produkte mit digitalen Elementen

Die Europäische Kommission hat im September ihren Entwurf für den Cyber Resilience Act („CRA“, Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020) veröffentlicht. Dabei handelt es sich um eine EU-Verordnung, die nach Inkrafttreten unmittelbare Anwendung in allen Mitgliedstaaten findet und hierfür keines weiteren Umsetzungsaktes bedarf. Das Vorhaben zielt darauf ab, die europäische Datenstrategie weiter voranzutreiben und den legislativen Flickenteppich auf dem Gebiet der Cybersicherheit im europäischen Binnenmarkt zu beseitigen.

Piltz Legal Update am 17.03.2023 in Nürnberg

Gemeinsam mit Alexander Filip informiert Dr. Carlo Piltz am 17.03.2023 in Nürnberg zum Thema: "Aktuelles zu Drittstaatentransfers - Praktische Umsetzung von SCC, TIA & Co."