Cyber-Sicherheit: Rechtliche Rahmenbedingungen für Unternehmen

Cyber-Sicherheit ist für Unternehmen nicht nur eine Frage der eigenen Sicherheit, sondern in vielen Fällen auch eine rechtliche Notwendigkeit. In Deutschland und auf EU-Ebene existieren mehrere Gesetze und Vorschriften, die bestimmte Sicherheitsstandards von Unternehmen fordern, die den Schutz von Daten und Systemen betreffen. Schauen wir uns die rechtlichen Rahmenbedingungen an, in denen Unternehmen sich in puncto Cyber-Sicherheit bewegen.

Das IT-Sicherheitsgesetz 1.0, offiziell bekannt als erstes Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, wurde 2015 verabschiedet und liefert einen rechtlichen Rahmen für die Zusammenarbeit zwischen Staat und Wirtschaft für eine Verbesserung der übergreifenden Cyber-Sicherheit.

Zu den wichtigsten Maßnahmen des Gesetzes zählen die signifikante Stärkung der Kompetenzen und Aufgaben des Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Festlegung von verbindlichen Mindestanforderungen und Meldepflichten für die Betreiber Kritischer Infrastrukturen (KRITIS).

So wird beispielsweise festgelegt, dass Betreiber Kritischer Infrastrukturen dem BSI gegenüber regelmäßig nachweisen müssen, dass ihre IT-Sicherheit dem Stand der Technik entspricht. Das Gesetz wurde 2021 überarbeitet und ergänzt.

Teile des Gesetzes gelten auch für Betreiber von kommerziellen Online-Angeboten. Sie müssen beispielsweise höhere Anforderungen an ihre IT erfüllen, um ihre Systeme und die Daten ihrer Kunden besser zu schützen.

Das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: IT-Sicherheitsgesetz 2.0) hat die Kompetenzen des BSI noch einmal verstärkt und einige Neuerungen hinsichtlich KRITIS mit sich gebracht. Hier sind die Kernpunkte des 2021 verabschiedeten Gesetzes im Überblick.

• Das BSI wird zur nationalen Behörde für Cyber-Sicherheitszertifizierung.
• Das BSI erhält die Kompetenz, verbindliche Sicherheitsmindeststandards für Bundesbehörden festzulegen und zu kontrollieren.
• Mobilfunknetzbetreiber werden verpflichtet, hohe Sicherheitsstandards zu erfüllen und kritische Komponenten zertifizieren zu lassen.
• Das BSI bekommt die Aufgabe des digitalen Verbraucherschutzes und der Verbraucherinformation in puncto IT-Sicherheit.
• Mit der Einführung des IT-Sicherheitsgesetzes 2.0 müssen jetzt auch Unternehmen im besonderen öffentlichen Interesse (z. B. Rüstungsunternehmen oder Unternehmen von erheblicher volks­wirtschaftlicher Bedeutung) bestimmte IT-Sicherheitsmaßnahmen umsetzen.

Für Betreiber Kritischer Infrastrukturen (kurz: KRITIS) gelten in Deutschland besonders strenge Anforderungen in den Bereichen IT- und Cyber-Sicherheit. Kritische Infrastrukturen sind Einrichtungen, die eine wichtige Bedeutung für das staatliche Gemeinwesen haben und deren Ausfall erhebliche Auswirkungen auf weite Teile der Bevölkerung hat. Dazu gehören Organisationen und Einrichtungen der folgenden acht Sektoren:

• Energie
• Wasser
• Ernährung
• Informations- und Kommunikationstechnik
• Transport und Verkehr
• Gesundheit
• Finanz- und Versicherungswesen
• Abfallentsorgung

Die Verordnung zur Bestimmung Kritischer Infrastrukturen definiert verschiedene Anforderungen an KRITIS-Betreiber, darunter:

• Meldung von IT-Vorfällen oder Störungen
• IT-Sicherheitsmaßnahmen, die dem “Stand der Technik” entsprechen
• Nachweis der getroffenen Sicherheitsmaßnahmen gegenüber dem BSI alle zwei Jahre
• Einrichtung einer zentralen Kontaktstelle für Cyber-Sicherheit im Unternehmen

Ausführliche Informationen rund um das Thema KRITIS stellt das BSI zur Verfügung.

Die Netz- und Informationssicherheitsrichtlinie 2 (NIS-2) ist eine verbindliche Cyber-Sicherheitsrichtlinie der EU, die am 16. Januar 2023 in Kraft getreten ist. Das Ziel der Richtlinie besteht darin, die Cyber-Resilienz zu erhöhen und Unternehmen zu verpflichten, sich besser auf Hackerangriffe und digitale Bedrohungen vorzubereiten, um im Schadensfall schnell und angemessen reagieren zu können.

Eine Neuerung, die die NIS-2-Richtlinie bringt, ist eine Ausweitung des Geltungsbereichs auf eine breitere Masse an Unternehmen. Neben den bisher im Fokus der Gesetzgebung stehenden Betreibern kritischer Infrastrukturen gelten die neuen Anforderungen auch für Unternehmen, die die folgenden beiden Kriterien erfüllen:

• Mehr als 50 Mitarbeitern und mehr als zehn Millionen Euro Umsatz im Jahr
• Tätigkeiten in einem von 18 in der Richtlinie definierten Unternehmenssektoren, darunter Energie, Transport, Bankwesen und Lebensmittelproduktion

Wichtig für Unternehmen: Sie müssen eigenständig ermitteln, ob die NIS-2-Richtlinie für sie gilt. Eine separate Prüfung und Aufforderung von Seiten der Behörden wird es nicht geben.

Da es sich bei der NIS-2 um eine EU-Richtlinie handelt, liegt die konkrete rechtliche Ausgestaltung und Umsetzung bei den Mitgliedstaaten. Diese muss bis zum 17. Oktober 2024 erfolgen. In Deutschland wurde dazu das NIS-2-Umsetzungsgesetz im Juli im Kabinett beschlossen.

Wichtig: Die oben dargestellten Informationen beziehen sich auf den aktuell bestehenden Gesetzentwurf der Bundesregierung, der im Juli verabschiedet wurde. Die offizielle Verkündung des Gesetzes steht noch aus.

Der Cyber Resilience Act (CRA) ist ein europäischer Rechtsakt, der festlegt, dass Software und Produkte mit digitalen Komponenten nur dann auf den Markt gebracht werden dürfen, wenn sie bestimmte Mindestanforderungen hinsichtlich Cyber-Sicherheit erfüllen - und das über den gesamten Produktlebenszyklus hinweg.

Das bedeutet, dass die gestellten Sicherheitsanforderungen nicht nur für die Planung und Entwicklung, sondern auch für die Wartung solcher Produkte gelten. Der Rechtsakt trat am 11. Dezember 2024 in Kraft. Jetzt haben die Hersteller bis 2027 Zeit, ihre Produkte in einer Version auf den Markt zu bringen, die die neuen Bestimmungen erfüllt.

Die Datenschutz-Grundverordnung (DSGVO) legt klare Regeln für den Umgang mit personenbezogenen Daten und damit einhergehende Rechte von Betroffenen fest. Durch die Regelungen der DSGVO werden Unternehmen dazu verpflichtet, ihnen anvertraute persönliche Daten mit Sorgfalt zu behandeln und entsprechende Maßnahmen zu ergreifen, um diese Daten zu schützen. Dazu gehören unter anderem das Begrenzen der erhobenen Datenmenge und die Benennung eines Datenschutzbeauftragten (wenn bestimmte Bedingungen erfüllt sind). 

Auch wenn die 2018 in Kraft getretene Verordnung keine konkreten Anforderungen im Bereich Cyber-Sicherheit enthält, werden Unternehmen durch die Verordnung indirekt zur Stärkung ihrer Informationssicherheit aufgefordert. Denn bei Missachtung der Datenschutzregeln drohen hohe Strafen.

Darüber hinaus hat der Europäische Gerichtshof (EuGH) mit seinem Urteil vom 15.12.2023 zur immateriellen Schadensersatzpflicht bei Datenschutzverstößen die Haftung von Unternehmen erheblich verschärft und die Gefahr von Massenklagen nach Datenlecks eröffnet.

Welche Auswirkungen diese Verschärfung in der Praxis haben kann, zeigt das Beispiel des Online-Brokers Scalable Capital. Durch ein Datenleck sind bereits im Oktober 2020 Kundendatensätze in die Hände Dritter gelangt. In einem Urteil vom 20. Juni 2024 hat der EuGH die Ansprüche der betroffenen Verbraucher gestärkt und festgelegt, dass ein Anspruch auf Schadensersatz bereits dann besteht, wenn es nur die Befürchtung gibt, dass die gestohlenen Daten weitergegeben beziehungsweise missbraucht werden könnten.

Das Bundesdatenschutzgesetz (BDSG) regelt spezifische Aspekte des Datenschutzes in Deutschland. Das 2018 erlassene Gesetz stellt eine Ergänzung zur  Datenschutz-Grundverordnung dar, die klare Regelungen zu Aspekten der DSGVO enthält, deren Ausgestaltung bei den Mitgliedstaaten liegt.

Das BDSG enthält Bestimmungen zu den Rechten und Pflichten von Datenschutzbeauftragten, den Anforderungen an die Verarbeitung von personenbezogenen Daten und den Sanktionen bei Datenschutzverstößen.

Neben diesen nationalen und EU-weiten Regelwerken für mehr Cyber-Sicherheit müssen Unternehmen unter Umständen zusätzlich branchenspezifische Regelungen beachten. Ein Beispiel ist der Digital Operational Resilience Act (DORA).

Die Verordnung über die digitale operationale Resilienz im Finanzsektor verpflichtet Unternehmen und Organisationen dazu, Sicherheitsmaßnahmen zu ergreifen, um die Verfügbarkeit ihrer Dienste zu gewährleisten. Zu diesen Maßnahmen gehört ein effektives IT-Risikomanagement und das regelmäßige Durchführen verschiedener Penetrations- und Resilienztests.

Eine weitere branchenspezifische Regelung, die sich mit der Cyber-Sicherheit von Unternehmen befasst, ist das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (TDDDG). Das Gesetz setzt die EU-Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation in deutsches Recht um. Unter anderem legt das Gesetz fest, dass:

• Cookies und vergleichbare Technologien die ausdrückliche Einwilligung des Nutzers erfordern - unabhängig davon, ob personenbezogene Daten erhoben werden.
• zwecks Jugendschutz erhobene Daten nicht kommerziell verwendet werden dürfen.
• Nutzer von digitalen Diensten die Nutzung des Dienstes jederzeit beenden und digitale Dienste gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen können.

ISO 27001 ist eine internationale Zertifizierung für Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen, die feste Standards definiert, wie ein Managementsystem für Informationssicherheit (ISMS) aufgebaut, implementiert und verwaltet werden sollte.

Auch wenn es sich hierbei nicht um ein verbindliches Gesetz handelt, nutzen viele Unternehmen die Norm als Orientierung, um ihre IT-Sicherheit zu verbessern und die von ihnen getroffenen Sicherheitsmaßnahmen gegenüber Kunden und Geschäftspartnern nachzuweisen. In Deutschland erfolgt die Prüfung und Zertifizierung durch einen BSI-zertifizierten Auditor.