Bußgelder und Sanktionen nach neuer Gesetzgebung für mehr Cybersicherheit und -resilienz: NIS-2 und DORA: Wie haften betroffene Unternehmen?

Unternehmen, die gegen die Vorschriften verstoßen, müssen mit empfindlichen Strafen rechnen.

Der DORA soll eine einheitliche Regulierung des Finanzsektors hinsichtlich der Themen Cybersicherheit, IKT-Risiken und digitaler operationaler Resilienz schaffen, um hierdurch den europäischen Finanzmarkt zu stärken. Die Verordnung ist spezifisch auf die Finanzbranche ausgerichtet und trifft hier Finanzunternehmen sowie auch deren IKT-Drittdienstleister (Dienstleister im Bereich der Informations- und Kommunikationstechnologie).

DORA verlangt von Finanzunternehmen eine Einschätzung und Überwachung von IKT-Drittparteienrisiken über den gesamten Lebenszyklus ihres Bezugs hinweg. Darüber hinaus sieht Art. 2 Abs. 1 lit. u) DORA eine direkte Anwendbarkeit von Teilen der Verordnung auf kritische IKT-Drittdienstleister vor, die selbst originär nicht zwingend der Finanzbranche zuzuordnen sind, aber für diese Dienste erbringen. Art. 3 Nr. 21 DORA definiert den Begriff der IKT-Dienstleistungen als „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern erbracht werden, einschließlich Diensten für die Bereitstellung, Eingabe, Speicherung und Verarbeitung von Daten und Berichterstattungsdiensten, Datenüberwachung sowie datenbasierter Dienste und Diensten für Entscheidungsunterstützung“.

Zwangs- und Bußgelder

DORA selbst sieht anders als viele aufsichtsrechtliche Rechtsakte selbst keinen eigenen Bußgeldkatalog vor. Die Verordnung statuiert allerdings in Art. 52 eine Öffnungsklausel für entsprechende Regelungen durch die Mitgliedstaaten.

Gegenüber kritischen IKT-Drittdienstleistern sanktioniert Art. 35 DORA allerdings die Nichtumsetzung bestimmter Pflichten mit der Verhängung täglich zu zahlender Zwangsgelder durch die zuständigen Behörden. Die Höhe des möglichen Zwangsgeldes beträgt hierbei ein Prozent des durchschnittlichen weltweiten Tagesumsatzes des betreffenden kritischen IKT-Drittdienstleisters.

Die deutsche Bundesregierung plant, von der Öffnungsklausel in Art. 52 DORA Gebrauch zu machen. Durch das sogenannte Gesetz über die Digitalisierung des Finanzmarktes  (Finanzmarktdigitalisierungsgesetz, FinmadiG-E) sollen verschiedene EU-Vorgaben im Rahmen des Finanzwesens umgesetzt werden, unter anderem auch DORA.

Der Gesetzesentwurf der Bundesregierung vom 7. Februar 2024 sieht vor, dass die Widersetzung gegen wesentliche Anforderungen von DORA sowie gegen vollziehbare Anordnungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zur Durchsetzung von DORA eine Ordnungswidrigkeit darstellen soll. Relevant sind hier vor allem fehlende, nicht richtige, nicht vollständige oder nicht rechtzeitig vorgenommene Meldungen eines schwerwiegenden IKT-bezogenen Vorfalls sowie auch fehlende, nicht richtige, nicht vollständige oder nicht rechtzeitige Durchführungen von Penetrationstests. Die jeweils durch Änderungsgesetze eingeführten Ordnungswidrigkeitsregelungen sehen in der Regel einen Bußgeldrahmen von bis zu fünf Millionen Euro bei entsprechenden Verstößen vor.

IKT-Drittdienstleister

DORA formuliert Anforderungen an die vertraglichen Bestimmungen zwischen Finanzunternehmen und den durch diese eingesetzten IKT-Drittdienstleistern, so etwa die Verpflichtung der Vertragspartner, Finanzunternehmen bei IKT-Vorfällen betreffend der bezogenen Dienstleistungen Unterstützung zu bieten. Darüber hinaus sollten Finanzunternehmen schon vor Vertragsschluss mit einem IKT-Drittdienstleister eine Risikoanalyse sowie Due-Diligence-Maßnahmen durchführen. Zusätzlich bietet es sich zur Reduzierung eigener Haftungsrisiken an, ergänzend zu den gesetzlichen Mindestanforderungen an die Vertragsausgestaltung vertragliche Regressklauseln mit IKT-Dienstleistern zu vereinbaren. Beruhen Bußgelder, die gegen Finanzunternehmen verhängt werden, auf einer Vertragsverletzung eines ihrer IKT-Drittdienstleisters, so begründen entsprechende Klauseln im Vertrag mit dem Dienstleister die Möglichkeit, vertragliche Regressansprüche geltend zu machen.

NIS-2-Richtlinie und NIS2UMSUCG

Die NIS-2-Richtlinie und deren Umsetzung auf mitgliedstaatlicher Ebene sind vor allem deshalb von Bedeutung, weil sie den persönlichen Anwendungsbereich verpflichtender Vorgaben im Bereich Cybersecurity deutlich erweitern. Die Pflicht zur Umsetzung trifft Unternehmen und Einrichtungen der kritischen Infrastruktur anders als der DORA branchenübergreifend, sofern die Einrichtung in einem der betroffenen Sektoren tätig ist.

Allein in Deutschland wird davon ausgegangen, dass infolge der Gesetzgebung 30.000 neue Unternehmen betroffen sein werden. In Deutschland wird die NIS-2-Richtlinie voraussichtlich durch das NIS2UmsuCG-E umgesetzt, der finale Referentenentwurf mit Bearbeitungsstand 19. Juli 2024 wurde in der Kabinettssitzung vom 24. Juli 2024 ohne Änderungen als Regierungsentwurf auf den Weg gebracht. Mit einem Inkrafttreten des Umsetzungsgesetzes ist im Frühjahr 2025 zu rechnen.

Für die betroffenen Einrichtungen, welche in der NIS-2-Richtlinie als wichtige und wesentliche Einrichtungen eingeteilt werden und im Rahmen des NIS2UmsuCG als wichtige und besonders wichtige Einrichtungen, werden Mindestanforderungen an die IT-Sicherheit festgelegt.

Zentral sind hierbei vor allem die Implementierung eines Risikomanagementsystems mittels des Ergreifens geeigneter und verhältnismäßiger technischer und organisatorischer Maßnahmen sowie entsprechende Meldepflichten.

Haftung der Geschäftsleitung

Bei der Betrachtung der Haftungsrisiken im Rahmen von NIS-2 ist besonders auf die persönliche Haftung der Geschäftsleitung zu achten. Die Geschäftsleitung trifft insbesondere eine Umsetzungs- und Überwachungspflicht hinsichtlich der durch die betroffene Einrichtung zu treffenden Risikomanagementmaßnahmen. Es bedarf also einer aktiven Rolle der Geschäftsleitung hinsichtlich der umzusetzenden Maßnahmen.

Sahen die älteren Entwürfe des NIS2UmsuCG noch die nicht abdingbare Haftung der Geschäftsleitung auf Ersatzansprüche bei einer Verletzung der Umsetzungs- und Überwachungspflicht gegenüber der Einrichtung vor, wurde dies im Rahmen des finalen Regierungsentwurfs entschärft. Die Formulierung der Unabdingbarkeit von Ersatzansprüchen entfällt, die entsprechende Haftung für einen „schuldhaft verursachten Schaden“ soll sich nach dem „auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts bemessen“.

Eine Haftung der Geschäftsleitung nach dem NIS2UmsuCG kommt somit nur in Betracht, wenn die maßgeblichen gesellschaftsrechtlichen Bestimmungen keine entsprechende Haftungsregelung enthalten. Im Ergebnis gibt es damit keinen Ausschluss des Verzichts auf den Geschäftsleiter-Regress mehr.

Bußgelder

Hinsichtlich des Bußgeldkatalogs für Verstöße gegen die Vorgaben der Richtlinie sieht NIS-2 deutlich höhere Mindestbußgelder vor als noch die NIS-Richtlinie von 2016. Art. 34 normiert Mindestbußgelder von bis zu zehn Millionen Euro beziehungsweise von bis zu 2 Prozent des Jahresumsatzes für wesentliche Einrichtungen; für wichtige Einrichtungen sind Mindestgeldbußen von bis zu sieben Millionen Euro beziehungsweise 1,4 Prozent des Jahresumsatzes vorgesehen – je nachdem welcher Betrag höher ist.

§ 67 BSIG-E sieht im Rahmen des NIS2UmsuCG einen Bußgeldkatalog vor, der zumindest teilweise über die Mindestbußgelder der Richtlinie hinausgeht. So wird durch § 67 Abs. 5 S. 2 BSIG-E unter Verweis auf § 30 Abs. 2 S. 3 OWiG die höchste Bußgeldstufe auf 20 Millionen Euro festgelegt. Die Höhe der zusätzlichen Bußgelder speziell für wichtige und besonders wichtige Einrichtungen läuft hingegen parallel zu den Mindestgeldbußen nach der NIS-2-Richtlinie, § 67 Abs. 5 S. 1, Abs. 6, 7 BSIG-E.

Einsatz von Dienstleistern

Setzen durch NIS-2 verpflichtete Einrichtungen Dienstleister ein, sind Letztere auch bei Verstößen gegen die Richtlinie beziehungsweise deren Umsetzungsgesetz grundsätzlich nicht selbst direkt von etwaigen Bußgeldern betroffen. Auch sieht weder die NIS-2-Richtlinie noch das NIS2UmsuCG gesetzliche Haftungsregelungen für den Fall vor, dass Bußgelder auf Vertragsverletzungen oder sonstigem pflichtwidrigen Verhalten der durch eine Einrichtung eingesetzten Dienstleister beruhen. Möglich ist hier allerdings wie auch im Rahmen von DORA die vertragliche Regelung von Regressansprüchen im Verhältnis der betroffenen Einrichtung zu ihren jeweiligen Dienstleistern.

Unionsweite Tätigkeit

Sind Unternehmen unionsweit tätig, so müssen sie aufgrund des Richtliniencharakters von NIS-2 beachten, dass die konkrete Rechtslage der verschiedenen Umsetzungsgesetze je nach Mitgliedstaat voneinander abweichen kann. Insbesondere können die nationalen Gesetzgeber der EU-Mitgliedstaaten im Vergleich zur NIS-2-Richtlinie auch weitergehende Pflichten einführen.

Unternehmen sollten sich also in jedem Fall auch mit für sie relevanten nationalen Umsetzungsakten der NIS-2-Richtlinie auseinandersetzen und prüfen, inwieweit bereits auf Grundlage des deutschen NIS2UmsuCG ergriffene Maßnahmen gegebenenfalls noch nachzuschärfen wären.

Fazit

Während die NIS-2-Richtlinie und das NIS2UmsuCG branchenübergreifend besonders kritische Infrastrukturen betreffen und strenge, durch hohe Bußgelder bewährte IT-Sicherheitsvorgaben vorsehen, zielt DORA spezifisch auf den Finanzsektor und bindet auch IKT-Drittdienstleister mit ein. Beide Regelwerke erfordern eine gründliche Vorbereitung und Implementierung, um die geforderten Sicherheitsstandards zu erfüllen und potenzielle Haftungsrisiken zu minimieren. In Anbetracht der baldigen Geltung von DORA sowie der bald zu erwartenden Geltung des NIS2UmsuCG sollte mit der Umsetzung der dortigen Anforderungen schnellstmöglich begonnen werden.