Viel wird in den letzten Wochen und Monaten über die NIS-2-Richtlinie gesprochen und berichtet. Doch was genau regelt diese Richtlinie eigentlich? Welche Ziele verfolgt Sie? Und was hat das alles mit Datenschutz zu tun? Diesen Fragen soll sich der heutige Blog-Beitrag widmen.
Der aktuelle „Umsetzungsstand“
Mit der Richtlinie (EU) 2022/2555 des Europäischen Parlamentes und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) verfolgt die EU allem voran das Ziel der Harmonisierung und Stärkung der Cybersicherheit in Deutschland. Da es sich bei der NIS-2-Richtlinie um eine Richtlinie und beispielsweise im Vergleich zur DS-GVO nicht um eine Verordnung handelt, ist noch eine Umsetzung der vorgaben in nationales Recht erforderlich. So weit, so gut.
Die aktuelle Lage zur Umsetzung der NIS-2-Richtlinie in Deutschland ist vorsichtig ausgedrückt eher bescheiden. Die Umsetzungsfrist ist bereits am 17. Oktober 2024 ausgelaufen, ohne dass es auf Bundesebene zur einer Umsetzung gekommen ist. Es lag zwar ein Referentenentwurf eines Umsetzungsgesetzes, das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), vor. Dieser Entwurf ist jedoch den Neuwahlen der Deutschen Bundesregierung und dem Diskontinuitätsprinzip „zum Opfer“ gefallen. Eine Umsetzung wird nun vermutlich erst im 2. Halbjahr 2025 erfolgen. Die Bundesrepublik wird aufgrund eines Vertragsverletzungsverfahren aber ziemlich sicher zu Kasse gebeten werden.
In einigen Bundesländern dagegen wurden die Vorgaben in entsprechenden Landesgesetzen ratifiziert. Als Beispiel kann hier auf das Sächsische Informationssicherheitsgesetz des Freistaates Sachsen verweisen werden.
NIS-2-Richtlinie und Datenschutz
Unabhängig von der aktuellen Situation rund um die Umsetzung der Vorgaben der NIS-2-Richtlinie in Deutschland lohnt sich ein Blick in die Regelungen der Richtlinie. Viele Regelungen dienen in erster Linie den gesetzten Zielen, allen voran der Stärkung der Cybersicherheit. Hierfür sind insbesondere die verschärften Vorgaben zu den Risikomanagementmaßnahmen im Bereich der Cybersicherheit (Art. 21 NIS-2-RL) sowie die Berichtspflichten (Art. 23 NIS-2-RL) und die Nutzung der europäischen Schemata für die Cybersicherheitszertifizierung (Art. 24 NIS-2-RL) zu nennen.
Den Fokus möchten wir im Folgenden auf die Risikomanagementmaßnahmen legen. Nach Art. 21 Abs. 1 NIS-2-RL müssen die gesetzlichen Adressaten der Regelungen (sogenannte wesentliche und wichtige Einrichtungen) „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen“, „um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten“.
Anschließend werden in Art. 21 Abs. 2 NIS-2-RL Maßnahmen gelistet, die von den verantwortlichen Einrichtungen mindestens umzusetzen sind. Hierzu gehören unter anderem Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme; Maßnahmen zur Bewältigung von Sicherheitsvorfällen; Maßnahmen zur Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement; Maßnahmen zur Sicherheit der Lieferkette; grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit; Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung sowie die Verwendung von Lösungen zur Multi-Faktor-Authentisierung.
An dieser Stelle können wir nun eine Brücke zum Datenschutz schlagen – es gibt noch weitere Anknüpfungspunkte, die wir heute aber außer Acht lassen wollen. Mit Blick auf die gelisteten Maßnahmen wird deutlich, dass die Umsetzung zahlreicher dieser Maßnahmen nicht ohne die Verarbeitung personenbezogener Daten auskommen wird, vielmehr noch wird die Datenverarbeitung sogar teilweise essentieller Bestandteil sein. Jedoch erfordert die Verarbeitung personenbezogener Daten stets die Einhaltung der Grundsätze aus Art. 5 DS-GVO, insbesondere das Vorliegen einer belastbaren Rechtsgrundlage. An dieser Stelle lohnt sich ein weiterer Blick ins Gesetz, genauer gesagt in Erwägungsgrund 121 Satz 1 NIS-2-RL:
„Die Verarbeitung personenbezogener Daten durch wesentliche und wichtige Einrichtungen in dem zur Gewährleistung der Sicherheit von Netz- und Informationssystemen erforderlichen und verhältnismäßigen Umfang könnte auf der Grundlage als rechtmäßig angesehen werden, dass diese Verarbeitung einer rechtlichen Verpflichtung entspricht, der der Verantwortliche gemäß Artikel 6 Absatz 1 Buchstabe c und Artikel 6 Absatz 3 der Verordnung (EU) 2016/679 [Anm.: DS-GVO] unterliegt.“ Und in Satz 2 heißt es weiter: „Die Verarbeitung personenbezogener Daten könnte auch für berechtigte Interessen erforderlich sein, die von wesentlichen und wichtigen Einrichtungen sowie von Anbietern von Sicherheitstechnologien und -diensten, die im Namen dieser Einrichtungen handeln, gemäß Artikel 6 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679 [Anm.: DS-GVO] wahrgenommen werden […]“.
Für die zur Umsetzung der Maßnahmen nach der NIS-2-RL verpflichteten Unternehmen bedeutet dies, dass zwischen der Rechtsgrundlage Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO i.V.m. mit der Pflicht zur Umsetzung der entsprechenden Maßnahme oder Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO unterschieden werden muss. In der Praxis bedeutet dies eine Differenzierung zwischen dem Verhältnismäßigkeitsgrundsatz und Bestimmtheitserfordernis des Art. 6 Abs. 1 UAbs. 1 lit. c) DS-GVO und der Interessenabwägung nach Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO und dem damit einhergehenden Widerspruchsrecht. Für öffentliche verantwortliche Stellen lohnt sich zudem ein Blick Art. 6 Abs. 1 UAbs. 2 DS-GVO.
Zudem sind die Vorgaben im Rahmen der datenschutzrechtlichen Rechenschaftspflicht, zum Beispiel Erfüllung der Informationspflichten nach Art. 13 und 14 DS-GVO oder Führung des Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO, zu berücksichtigen.
Verpflichtung trotz nichtumsetzung?
Mit einer spannenden Anschlussfrage zu diesem Thema setzt sich Dr. Jens Eckhardt in der Podcast-Folge „NIS-2: Erfüllung einer Rechtspflicht ohne Rechtspflicht“ bei Otto Schmidt live – der Podcast auseinander: Dürfen die Datenverarbeitungen wie oben beschrieben trotz Nichtumsetzung der NIS-2-RL überhaupt verarbeitet werden? Reinhören lohnt sich.
Fazit
Trotz aktueller Nichtumsetzung der NIS-2-RL in nationales Recht durch die Bundesrepublik Deutschland sind verantwortliche Stelle gut beraten, sich mit den Anforderungen und deren Umsetzung auseinanderzusetzen – denn: Aufgeschoben ist nicht aufgehoben. Hierbei müssen zwingend die datenschutzrechtlichen Implikationen berücksichtigt werden. Wer noch mehr über das Thema erfahren will, hat die Möglichkeit das Aufeinandertreffen von Sicherheitsbedürfnis und Datenschutz in meinem Werk „Verarbeitung personenbezogener Daten zum Schutz gegen Cyber-Angriffe“ erschienen im Oldenburger Verlag für Wirtschaft, Informatik und Recht nachzulesen.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
