Neuer Beitrag in der aktuellen kes: „Sanktionen nach NIS-2: Bußgelder und Prozessorientierung im neuen IT-Sicherheitsrecht“

„Wer #NIS2 jetzt nicht umsetzt, dem droht ein #Bußgeld!“ Diese und ähnliche Botschaften bekam man im vergangenen Jahr immer häufiger zu lesen. Und in der Tat ist es ein Spagat mit der Umsetzung der EU-Cybersicherheitsrichtlinie: Einerseits sollen anspruchsvolle Standards zur #Cybersicherheit möglichst flächendeckend realisiert werden, andererseits dürfen Politik und Behörden auch nichts Unmögliches fordern oder Unternehmen mit Regulierung ersticken. Wo die Bußgelder deshalb mehr und mehr als #Verkaufsargument für #Cybersecurity dienen, räumen Dr. Julian Zaudig und ich in unserem neuesten Beitrag für die neu erschienene Ausgabe der kes grundlegend mit den NIS2-Bußgeldvorurteilen auf und erklären anhand verschiedener Fallkonstellationen, worauf es bei dem Thema wirklich ankommt:

– Das betrifft uns nicht: Wer nicht erkennt, dass er von dem #BSIG erfasst ist, kann mit einem Bußgeld belegt werden. Hier besteht keine unüberwindbare rechtliche Unsicherheit, denn mit Inkrafttreten des künftigen #NIS2UmsuCG lässt sich die Betroffenheit des eigenen Unternehmens rechtssicher feststellen.

– Abkürzungen und „Sparen“ im Rahmen des übrigen ISMS: Wessen reguliertes ISMS an grundlegenden Mängeln leidet, kann und sollte mit einem Bußgeld belegt werden. Hier gilt: Wer fahrlässig oder sogar vorsätzlich Abkürzungen nimmt und sich dadurch einen illegalen Vorteil verschafft, dem kann und sollte dieser Vorteil durch ein Bußgeld genommen werden.

– Die weithin unbeachtete betriebliche Sicherheitsrichtlinie: Es kann nicht oft genug gesagt werden: Ja, ein ISMS baut auf betrieblichen Richtlinien, Anweisungen und Dokumentationen auf. Im Rahmen des BSIG wird allerdings nicht die Papierlage, sondern gerade die tatsächliche Umsetzung von Sicherheitsmaßnahmen überprüft. Wer hier spart, dem droht ebenso ein Bußgeld.

– Nicht „Stand der Technik“: Ein Bußgeld kann nicht verhängt werden, weil von technischen Richtlinien – gerade des BSI – abgewichen wird. Die Äußerungen des BSI gegenüber Unternehmen sind hier teilweise missverständlich. Der Stand der Technik muss nicht „langsam aber sicher“ erreicht werden. Richtig ist: Der Stand der Technik soll unmittelbar nach Geltung des NIS2UmsuCG eingehalten werden (künftig voraussichtlich § 30 Abs. 2 S. 1 BSIG), aber muss jetzt und in Zukunft nicht flächendeckend erreicht werden. Eine gut begründete Entscheidung gegen technische Standards ist deshalb rechtmäßig und zieht kein Bußgeld nach sich.

– Schlichte Fehleinschätzungen und Implementierungsfehler: Auch einzelne Fehler, wie zum Beispiel Augenblicksversagen auf der Arbeitsebene, nimmt das Gesetz zuletzt hin, insoweit im Übrigen sorgfältig gearbeitet und korrekt reagiert wird. Absolute Sicherheit ist unerreichbar, also darf auch niemand mit einem Bußgeld belegt werden, nur weil er sie nicht erreicht.

https://www.kes-informationssicherheit.de/print/titelthema-festplatten-dietriche-zur-extraktion-verschluesselter-daten/sanktionen-nach-nis-2/

#cyberresilience #cyberintelligence #cyberintelligenceinstitute #denniskenjikipker #frankfurt #bremen

Schreibe einen Kommentar