Das kommende Cyber Security Gesetz in Deutschland führt hohe Bußgelder ein.

Vier Jahre nachdem Deutschland sein erstes Cybersicherheitsgesetz verabschiedet hat – dem damals Brüssel mit seiner EU-NIS-Richtlinie folgte – überarbeitet die Bundesregierung nun die bestehenden deutschen Vorschriften. Ein in der vergangenen Woche veröffentlichter Gesetzentwurf schlägt vor, den Anwendungsbereich der bestehenden Verordnung zu erweitern und bei bestimmten Gesetzesverstößen Geldbußen wie bei der DSGVO einzuführen. Der Gesetzentwurf befindet sich noch in der Anfangsphase des Gesetzgebungsprozesses und kann von verschiedenen Ausschüssen geändert werden. Die Verabschiedung ist jedoch noch vor der Sommerpause geplant und wird, wenn sie wie derzeit vorgeschlagen in Kraft tritt, die Cybersicherheit für Unternehmen mit Geschäftstätigkeit in Deutschland noch weiter nach oben auf die Compliance-Agenda bringen. Dies ist also vergleichbar mit dem seit Mai 2018 zu beobachtenden Push beim Datenschutz gemäß DSGVO.

Erweiterung des Anwendungsbereichs auf IT-Produktanbieter und Sektoren von öffentlichem Interesse

Der Gesetzentwurf sieht vor, den Geltungsbereich des Gesetzes auf Hersteller von „IT-Produkten“ für Unternehmen mit kritischer Infrastruktur auszudehnen. Wobei „IT-Produkte“ sowohl Software als auch Hardware umfassen werden. Hersteller und Anbieter von IT-Produkten sind verpflichtet, IT-Sicherheitsvorfälle mit ihren Produkten an die Behörden zu melden, wenn der Vorfall zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der kritischen Infrastrukturen geführt hat. Darüber hinaus müssen Hersteller und Anbieter von IT-Produkten, einschließlich der gesamten Lieferkette für diese Produkte, die speziell für die Nutzung durch eine kritische Infrastruktur entwickelt wurden, dem Kunden gegenüber eine Zuverlässigkeitserklärung abgeben. Das Innenministerium wird die Anforderungen an eine solche Erklärung erläutern. Der Anwendungsbereich wird ferner auf Unternehmen von besonderem öffentlichen Interesse ausgedehnt, wie zum Beispiel bestimmte Medienunternehmen, die für die Meinungsbildung von Bedeutung sind, bestimmte Unternehmen, die nach den durch die Regierungsverordnung festzulegenden Regeln der Frankfurter Wertpapierbörse reguliert sind und bestimmte Unternehmen aus dem Verteidigungssektor.

Geldbußen vergleichbar mit DSGVO

Inzwischen liegen die Geldbußen für die Nichteinhaltung von Cybersicherheitsmaßnahmen auf einem moderaten Niveau von 50.000 bis 100.000 Euro und das Bundesamt für Sicherheit in der Informationstechnik wendet einen kooperativen Ansatz für die betroffenen Unternehmen an. Mit dem vorgeschlagenen Gesetzentwurf könnte sich dies erheblich ändern. Die vorgeschlagenen Geldbußen betragen bis zu 4 % des weltweiten Gesamtumsatzes oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist, wegen Nichteinhaltung einer Anordnung des BSI und von bis zu 2 % des weltweiten Gesamtumsatzes oder 10 Millionen Euro. Je nachdem, welcher Betrag höher ist, für jede andere Nichteinhaltung der gesetzlichen Verpflichtungen eines Unternehmens, zum Beispiel Nichteinhaltung von IT-Sicherheitsmaßnahmen, Meldepflichten oder Registrierungspflichten.

Verbesserte Befugnisse des BSI bei der Überprüfung anfälliger Systeme

Unter den zahlreichen zusätzlichen Aufgaben, die dem BSI durch den Gesetzentwurf übertragen werden, kann das BSI Maßnahmen zur Erkennung und Analyse von Malware, Sicherheitslücken und anderen Sicherheitsrisiken in öffentlich zugänglichen IT-Systemen ergreifen und vom Betreiber solcher Systeme verlangen, Gegenmaßnahmen anzupassen. Ziel ist es, die Verbreitung von Botnets zu verhindern und die Sicherheit innerhalb des IoT zu erhöhen. Wenn das neue Cybersicherheitsgesetz wie derzeit vorgeschlagen in Kraft tritt, wird es die Cybersicherheit für Unternehmen mit Geschäftstätigkeit in Deutschland noch weiter nach oben auf die Compliance-Agenda bringen – vergleichbar mit dem seit Mai 2018 zu beobachtenden Push beim Datenschutz unter DSGVO.