Die Umsetzung der NIS-2-Richtlinie wird eine Vielzahl von Lebensmittelunternehmen in die Pflicht zur planvollen Umsetzung von Cybersicherheitsmaßnahmen nehmen. Der folgende Beitrag zeigt auf, welche Akteure der Lebensmittelwertschöpfungskette künftig zu verschärften Cybersicherheitsmaßnahmen verpflichtet sind und wie diese Pflichten erfüllt werden können.

Welche Unternehmen sind künftig erfasst?

Die bis Oktober 2024 von den Mitgliedstaaten umzusetzende Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union („NIS-2“) erfasst auch alle Lebensmittelunternehmen, die

• im Großhandel bzw. der industriellen Produktion und Verarbeitung tätig sind,

• mindestens 50 Personen beschäftigt und deren Jahresumsatz bzw. Jahresbilanz von 10 Mio. EUR übersteigt,

• und ihre Tätigkeiten in der EU ausüben.

Das ist eine deutliche Erweiterung des Anwendungsbereichs.

Unternehmenspflichten nach NIS-2.

NIS-2 sieht für Unternehmen drei Kategorien von Pflichten vor: Governance, Risikomanagement und Berichtswesen.

Governance-Pflichten und Haftung.

Im Bereich Governance müssen Leitungsorgane „verantwortlich“ für Cybersicherheit sein (hierzu weiter unten zur Haftung). Zudem müssen die Leitungsorgane an Schulungen zum Thema Cybersicherheit teilnehmen und Mitarbeitern entsprechende Schulungen anbieten.

Die Richtlinie verlangt, dass die Leitungsorgane der Lebensmittelunternehmen für Verstöße gegen Anforderungen an das Risikomanagement im Bereich Cybersicherheit „verantwortlich gemacht“ werden.

Ausweislich der Erwägungsgründe der Richtlinie wird damit jedoch weder eine zivil- noch eine strafrechtliche Haftung für Schäden Dritter begründet, die auf einen Verstoß zurückzuführen sind.

Vielmehr sollen die Leitungsorgane die Verantwortung übernehmen, indem sie die vom Unternehmen ergriffenen Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen.

Das deutsche Umsetzungsgesetz sieht insoweit eine Innenhaftung der Leitungsorgane gegenüber der Gesellschaft vor. Auf Ersatzansprüche kann nicht im Vorhinein verzichtet werden.

Risikomanagementmaßnahmen.

Die Vorgaben zum Risikomanagement weisen Ähnlichkeiten zu den Anforderungen an das Risikomanagement im Rahmen der DSGVO auf. Insoweit kommt es auf die Ergreifung technischer, organisatorischer und operativer (!) Maßnahmen zur Beherrschung des Risikos einer Cyberattacke bzw. Verhinderung oder zumindest Geringhaltung von Schäden entlang der Wertschöpfungskette an.

Die Maßnahmen müssen unter Berücksichtigung des Stands der Technik, der Normierungen und der Kosten der Umsetzung dem Risiko angemessen sein. Das unternehmensindividuelle Risiko muss anhand des Ausmaßes und der Eintrittswahrscheinlichkeit der Cybersicherheits-Risiken, der Größe des Unternehmens und den potenziellen gesellschaftlichen und wirtschaftlichen Auswirkungen eines Sicherheitsvorfalls ermittelt werden.

Die Risikomanagementmaßnahmen und deren (Risiko-)Bewertung sollten dokumentiert werden.

Daneben sieht die NIS-2-Richtlinie „Mindestmaßnahmen“ vor, die im Rahmen eines gefahrenübergreifenden Ansatzes umzusetzen sind. Die zeitliche Priorisierung und Schwerpunktlegung bei der Umsetzung der Maßnahmen ist unternehmensindividuell und insbesondere anhand der bereits vorhandenen Stärken und Schwächen des Cybersicherheits-Konzepts auszurichten. Zu den Mindestmaßnahmen zählen insbesondere:

• Konzepte in Bezug auf Risikoanalyse und Sicherheit

• Bewältigung von Sicherheitsvorfällen

• Aufrechterhaltung des Betriebs

• Backup-Management und Wiederherstellung nach einem Notfall

• Krisenmanagement

• Sicherheit der Lieferkette

• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung

• Management und Offenlegung von Schwachstellen

• Konzepte und Verfahren zur Bewertung der Wirksamkeit

• grundlegende Verfahren im Bereich der Cyberhygiene

• Schulungen im Bereich der Cybersicherheit

• Kryptografie und gegebenenfalls Verschlüsselung

• Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen

• Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

Berichtspflichten.

Erhebliche Sicherheitsvorfälle lösen bei den von NIS-2 erfassten Lebensmittel­unternehmen Berichtspflichten gegenüber den zuständigen Behörden oder Einrichtungen aus. Erheblich ist ein Sicherheitsvorfall, wenn eine schwerwiegende Betriebsstörung bzw. finanzielle Verluste oder Schädigung (materiell oder immateriell) anderer natürlicher oder juristischer Personen zumindest drohen.

Die Berichtspflichten erfolgen nach einem mehrstufigen Ansatz: eine Frühwarnung gegenüber den zuständigen Stellen muss unverzüglich und spätestens binnen 24 Stunden nach Kenntnisnahme des Sicherheitsvorfalls erfolgen.

Eine Meldung des Sicherheitsvorfalls ist unverzüglich und spätestens binnen 72 Stunden nach Kenntnisnahme zu machen. Die Meldung muss eine erste Bewertung inklusive Schweregrad und Auswirkungen des Vorfalls enthalten und gegebenenfalls die Kompromittierungsindikatoren nennen.

Spätestens einen Monat nach der Meldung ist ein Abschlussbericht zu übermitteln, der Folgendes hält:

• Ausführliche Beschreibung Sicherheitsvorfall

• Art der Bedrohung bzw. wahrscheinliche Ursache

• Abhilfemaßnahmen

• Grenzüberschreitende Auswirkungen

Sofern von der Cyberattacke auch personenbezogene Daten betroffen sind, können auch Meldepflichten nach der DSGVO gegenüber den Datenschutzbehörden bestehen.

Durchsetzungsbefugnisse.

Die zuständigen Aufsichts- und Durchsetzungsbehörden der Mitgliedstaaten müssen mit umfangreichen Befugnissen ausgestattet werden bis hin zu Sicherheitsprüfungen bei den Unternehmen vor Ort.

Bei Verstößen der Lebensmittelunternehmen gegen Risikomanagement- oder Berichts-Pflichten der NIS-2-Richtlinie drohen Bußgelder mit einem Höchstbetrag von mindestens EUR 10 Mio. bzw. von mindestens 2 % für wesentliche Lebensmittelunternehmen (z. B. solchen, die KRITIS unterfallen) oder mit einem Höchstbetrag von mindestens EUR 7 Mio. bzw. von mindestens 1,4 % für wichtige Lebensmittelunternehmen (alle mindestens mittleren Lebensmittelunternehmen), je nachdem welcher Betrag höher ist.

Praktische Folgen und Umsetzung in Deutschland.

Die Umsetzung der NIS-2-Richtlinie muss bis Oktober 2024 erfolgen. Derzeit liegt für Deutschland ein Referentenentwurf aus Dezember 2023 vor. Voraussichtlich wird Deutschland die Umsetzungsfrist nicht einhalten können, da NIS-2 auch zahlreiche Vorgaben zur Cybersicherheit bei den Behörden macht und hier derzeit noch Uneinigkeit zwischen den Bundesländern besteht.

Selbst wenn es aber zu einer verzögerten Umsetzung in Deutschland kommt, zeichnet sich bereits jetzt ab, dass Lebensmittelunternehmen gesetzlich zu einer verstärkten Verankerung der Cybersicherheit in ihre Compliance-Organisation verpflichtet werden. Dies bedingt eine Gesamtstrategie der Cybersicherheit, die alle relevanten Risiken erfasst und konkrete operativer Maßnahmen zur Abstellung oder zumindest Verringerung der Risiken vorsieht.

Diese Gesamtstrategie muss aufgrund der vorgeschriebenen Verantwortung der Leitungsorgane von Geschäftsführern und Vorständen gebilligt und überwacht werden. Dies bedingt wiederum eine ernsthafte und nachweisbare Auseinandersetzung der Leitungsorgane mit der Entwicklung und konkreten Umsetzung der Cybersicherheitsstrategie des Unternehmens. Eine reine Auslagerung an die internen oder externen Experten, verbunden mit der Hoffnung, dass im Bereich Cybersicherheit „schon alles gut gehen werde“, wird im Zweifel eine Haftung der Leitungsorgane gegenüber der betroffenen Gesellschaft auslösen.

Gerne unterstützen wir Sie bei der Entwicklung entsprechender Cybersicherheitsstrategien, der präventiven Planung von Abläufen im Ernstfall, mit Schulungen zum Thema Cybersicherheit oder der Analyse und Bewertung Ihrer Cybersicherheitsrisiken. Nehmen Sie für ein unverbindliches Erstgespräch gerne Kontakt zu uns auf.

Mehr zur NIS-2-Richtlinie in unserem Compliance-Podcast RECHTSANWALTER & LEBENSKÜNSTNER.: