Allein die Umsetzung des „Stands der Technik“ ist für Betreiber kritischer Infrastruktur nicht ausreichend.
Der deutschen Wirtschaft entsteht ein jährlicher Schaden von rund EUR 203 Milliarden durch den Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage – so das Ergebnis einer Studie des Digitalverbandes „Bitkom“. Praktisch jedes Unternehmen in Deutschland wird zum Opfer: 84 Prozent der Unternehmen waren im vergangenen Jahr betroffen, weitere 9 Prozent gehen jedenfalls davon aus. Besonders im Fokus von Cyberangriffen stehen Betreiber der sogenannten kritischen Infrastruktur.
Auf diese Situation haben der europäische und der deutsche Gesetzgeber schon vor Jahren reagiert, um die Funktionsfähigkeit der lebensnotwenigen Infrastruktur zu schützen. Die gesetzlichen Vorgaben wurden in den letzten Jahren weiter verschärft, weitere Gesetze und Gesetzesänderungen stehen unmittelbar bevor. Die Compliance-Anforderungen an Betreiber kritischer Infrastruktur sind hoch und nehmen weiter zu.
Kritische Infrastrukturen (nachfolgend und häufig bezeichnet als „KRITIS“) sind nach allgemeiner Definition „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“. Folgende Sektoren gehören zur KRITIS: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung.
Der Schwerpunkt der gesetzlichen Vorgaben ist bisher technischer Natur. So sind Betreiber von KRITIS insbesondere verpflichtet, die IT-Sicherheit auf den „Stand der Technik“ umzusetzen und IT-Störungen oder erhebliche Beeinträchtigungen zu melden. Beratungsleistungen, Veröffentlichungen und Diskussionen beziehen sich bisher schwerpunktmäßig auf diese technischen Aspekte.
Bei genauerer Analyse zeigt sich jedoch, dass neben technischen Themenfeldern weitergehende Vorgaben zu beachten sind: Diese haben insbesondere auch erhebliche arbeitsrechtliche Bedeutung. Dies zeigt sich auch durch die neuen europarechtlichen Regelungen und nationalen Gesetzesentwürfe, die nunmehr verstärkt auch auf die physische Widerstandsfähigkeit kritischer Einrichtungen abzielen (CER-Richtlinie, KRITIS-Dachgesetz). Der nachfolgende Beitrag verschafft einen Überblick – insbesondere zu den arbeitsrechtlichen Anforderungen.
Vielfältige Regularien – Ein Überblick
Die KRITIS sind Gegenstand vielfältiger nationaler und europäischer Regelungen. Auf nationaler (deutscher) Ebene gibt es derzeit allerdings kein allumfassendes (einzelnes) Gesetz zum Schutz der KRITIS.
Neben Spezialgesetzen (z.B. Energiewirtschaftsgesetz (EnWG), Telekommunikationsgesetz (TKG), Atomgesetz (AtG)) spielt das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) eine zentrale Rolle. Das BSIG wurde durch mittlerweile zwei Änderungsgesetze – das IT-Sicherheitsgesetz 1.0 (2015) und 2.0 (2021) – erweitert. Zudem wird das BSIG durch die BSI-Kritisverordnung (BSI-KritisV) konkretisiert, insbesondere werden die für die Anwendbarkeit des Gesetzes relevanten Schwellenwerte definiert (dazu sogleich).
Auf Unionsebene sind maßgeblich die beiden Richtlinien zur Netzwerk- und Informationssicherheit zu berücksichtigen (sog. NIS-Richtlinien). Die erste NIS-Richtline (NIS-1-Richtlinie), die 2017 in nationales Recht umgesetzt wurde, schuf einen einheitlichen Rechtsrahmen für einen EU-weiten Aufbau nationaler Kapazitäten für Cybersicherheit. Die Richtlinie sah erstmals Mindestanforderungen und Meldepflichten für KRITIS sowie Anbieter digitaler Dienste vor.
Die zweite NIS-Richtline (NIS-2-Richtlinie) aus dem Jahr 2022 erweitert Cybersicherheitsanforderungen sowie Sanktionen, sieht strengere Anforderungen für verschiedene Sektoren vor und erweitert die Zahl der vom Anwendungsbereich erfassten Unternehmen. Zudem sind strengere Haftungsregeln für die Geschäftsleitung vorgesehen. Die vorgesehenen Bußgelder belaufen sich auf bis zu EUR 10 Millionen, bei „besonders wichtigen Einrichtungen“ und einem Jahresumsatz von über EUR 500 Millionen können einzelne Ordnungswidrigkeiten sogar mit einem Bußgeld von bis zu 2 Prozent des Jahresumsatzes geahndet werden. Bis dato ist die NIS-2-Richtlinie noch nicht in nationales Recht umgesetzt.
Am 24. Juli 2024 wurde aber zumindest der Regierungsentwurf des „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes“ veröffentlicht. Der Entwurf sieht insbesondere Änderungen im Rahmen des BSIG vor. Die Frist zur Umsetzung der NIS-2-Richtlinie in nationales Recht endet am 17. Oktober 2024.
Während die NIS-Richtlinien die Cybersicherheit ausweiten, verpflichtet die europäische Critical-Entities-Resilience-Richtlinie (CER-Richtlinie) die Mitgliedsstaaten, die physische Widerstandsfähigkeit kritischer Einrichtungen gegenüber Bedrohungen wie Naturgefahren, Terroranschlägen oder Sabotage zu stärken. Auch diese Richtlinie ist bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Die Umsetzung soll durch das sog. KRITIS-Dachgesetz erfolgen – der letzte Gesetzesentwurf stammt vom 21. Dezember 2023. Die Bezeichnung als „Dach“-Gesetz wurde gewählt, weil das Gesetz erstmalig einen sektorübergreifenden Ansatz zum physischen Schutz kritischer Infrastrukturen verfolgt. Das Gesetz tritt aber neben die bestehenden Regelungen zur Cybersicherheit und regelt ebenso Schutz- und Meldepflichten. Zentrale Stelle ist diesbezüglich das Bundesamt für Bevölkerungsschutz ist.
Sorgfältige Bestimmung des Geltungsbereichs – Kritische Infrastrukturen
Für Unternehmen besteht die erste Aufgabe darin, rechtssicher festzustellen, ob sie vom Geltungsbereich der gesetzlichen Vorgaben erfasst sind. Das BSIG unterscheidet dabei zwischen (1) KRITIS-Betreibern, (2) Unternehmen im besonderen öffentlichen Interesse (UBI) und (3) Anbietern digitaler Dienste. Aufgrund des Umfangs der gesetzlichen Regelungen soll in diesem Beitrag lediglich ein Überblick über Pflichten für KRITIS-Betreiber gegeben werden.
Kritische Infrastrukturen sind gemäß § 2 Abs. 10 S. 1 BSIG
Einrichtungen, Anlagen oder Teile davon, die
1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung angehören und2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Diese Legaldefinition wird durch die BSI-KritisV weiter konkretisiert. Den vorbezeichneten Sektoren sind dazu im Rahmen der BSI-KritisV jeweils separate Paragrafen gewidmet. Eine Anlage bzw. ein Anlagenteil fällt dann unter den Geltungsbereich der KRITIS, wenn die Anlage bzw. ein Anlagenteil eine einen in der BSI-KritisV definierten Schwellenwert erreicht oder überschreitet. So kennt beispielsweise der Sektor Energie die Kategorie Stromverteilernetz. Anlagen(teile) dieser Kategorie sind dann Teil der KRITIS und somit vom Anwendungsbereich des BSIG erfasst, wenn die durch Letztverbraucher und Weiterverteiler entnommene Jahresarbeit mindestens 3.700 GWh pro Jahr (= Schwellenwert) beträgt. Entsprechende Schwellenwerte existieren für alle Sektoren und bedürfen einer sorgfältigen Bewertung im Einzelfall.
Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik gibt es derzeit ca. 1.100 KRITIS-Betreiber, die Anzahl von KRITIS-Anlagen liegt bei über 2.000, da KRITIS-Betreiber häufig mehrere KRITIS-Anlagen betreiben.
Eine entsprechende Systematik sieht auch der aktuelle Gesetzesentwurf zum KRITIS-Dachgesetz vor. Gemäß § 4 des Gesetzesentwurfs umfasst der Geltungsbereich auch hier Anlagen aus definierten Sektoren, soweit festzulegende Schwellenwerte durch die Anlagen überschritten werden. Vom Gesetz erfasst sind nach aktuellem Entwurf die Betreiber kritischer Anlagen, wenn diese (in der Regel) über 500.000 Personen versorgen (Regelschwellenwert). Die genauen Anlagen und Schwellenwerte in den Sektoren müssen noch in einer neuen KRITIS-Verordnung definiert werden. Der Gesetzgeber geht in Deutschland von ca. 2.000 Unternehmen aus, die vom Geltungsbereich erfasst werden.
Unternehmen, die grundsätzlich im Bereich einer der maßgeblichen Sektoren tätig sind, sollten daher dringend prüfen, ob Anlagen oder Anlagenteile die maßgeblichen Schwellenwerte (nach BSIG) überschreiten. Sobald das KRITIS-Dachgesetz in Kraft tritt, ist eine entsprechende Prüfung auch für das KRITIS-Dachgesetz vorzunehmen. Die Zahlen zu betroffenen Unternehmen zeigen deutlich, dass die gesetzlichen Geltungsbereiche weit mehr Unternehmen erfassen, als die Begrifflichkeit der „kritischen Infrastruktur“ vermuten lässt.
Pflichten gemäß BSIG und des Entwurfs zum KRITIS-Dachgesetz
Die zentrale Verpflichtung für KRITIS-Betreiber stellt nach aktueller Gesetzeslage § 8a BSIG auf. Danach sind KRITIS-Betreiber verpflichtet,
angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen […] ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen.
Bei der Erfüllung dieser Pflichten müssen KRITIS-Betreiber den sog. „Stand der Technik“ (§ 8a Abs. 1 S. 2 BSIG) einhalten. Zur Gewährleistung der Anforderungen nach § 8a Abs. 1, 1a BSIG können sog. branchenspezifische Sicherheitsstandards (B3S) geschaffen werden. Die Erfüllung der in § 8a Abs. 1, 1a BSIG genannten Verpflichtungen ist dem BSI alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen (§ 8a Abs. 3 S. 1 u. 2 BSIG).
Für KRITIS-Betreiber stellt sich daher zwangsläufig die Frage, was „angemessene organisatorische und technische Vorkehrungen“ sind. Konkret lässt sich dies immer nur anhand des jeweiligen Sektors beantworten, in denen der Betreiber tätig ist. Die existierenden branchenspezifischen Sicherheitsstandards sowie Rückmeldungen von Behörden nach durchgeführten Audits zeigen aber, dass technische Maßnahmen allein nicht ausreichend sind. Vielmehr sind insbesondere auch Maßnahmen zu implementieren, die in das Themenfeld „Personal / Human Resources“ fallen.
So sehen diverse branchenspezifischen Sicherheitsstandards ausführliche Regelungen zu Bereichen der „personellen und organisatorischen Sicherheit“ vor (z.B. B3S Medizinische Versorgung, B3S Aggregatoren). Diese wiederum beinhalten Konkretisierungen zu diversen arbeitsrechtlichen Themenfeldern, beispielsweise: Information security roles and responsibilities, Screening, Terms and conditions of employment, Management responsibilities, Information security awareness, education and training, Responsibilities after termination or change of employment.
Die branchenspezifischen Sicherheitsstandards zeigen, dass sich Arbeitgeber, die vom Geltungsbereich der gesetzlichen Vorgaben erfasst sind, keinesfalls darauf verlassen dürfen, allein technische Maßnahmen seien ausreichend. Vielmehr sind insbesondere auch Maßnahmen, die typischerweise dem Verantwortungsbereich Human Resources / Personal zuzuordnen sind, von wesentlicher Bedeutung und für ein umfassendes Sicherheitskonzept unabdingbar.
Diese Erkenntnisse werden durch die Analyse des Gesetzesentwurfs zum KRITIS-Dachgesetz bestätigt. So sieht der Gesetzesentwurf an diversen Stellen vor, dass das Personal durch Schulungen und Übungen fortzubilden ist und ein Sicherheitsmanagement hinsichtlich der Mitarbeiter zu gewährleisten ist. So sind insbesondere Personalkategorien festzulegen, die kritische Funktionen wahrnehmen. Auch darüber hinaus zeigen sich arbeitsrechtliche Anknüpfungspunkte bei diversen Maßnahmen, beispielsweise bei Zuverlässigkeitsprüfungen von Mitarbeitern und möglichen Zugangskontrollen. Regelungen des Sicherheitsüberprüfungsgesetzes (SÜG) in Verbindung mit der Sicherheitsüberprüfungsfeststellungsverordnung (SÜFV) bleiben davon unberührt, können im Rahmen eines Gesamtsystems aber eine unverändert wichtige Rolle spielen.
Erfordernis einer wirksamen arbeitsrechtlichen Umsetzung
Sofern Arbeitgeber vom Anwendungsbereich der gesetzlichen Vorschriften erfasst sind und im Rahmen eines Gesamtsystems notwendigerweise auch Maßnahmen ergreifen, die Auswirkungen auf die Belegschaft haben, gilt es, diese arbeitsrechtlich wirksam umzusetzen. Individualvertraglich sind insofern die durch die Arbeitsverträge festgelegten Grenzen zu beachten. Empfehlenswert ist es daher, die Muster-Arbeitsverträge bereits heute dahingehend anzupassen, um Arbeitgebern eine möglichst große Flexibilität zu verschaffen (Einsatzbereiche, Rufbereitschaft, arbeitszeitrechtliche Regelungen, etc.).
Im Rahmen der Personal-Rekrutierung empfiehlt es sich, effektive und rechtssichere Konzepte zu erarbeiten, um einheitliche Standards bei Zuverlässigkeitsprüfungen anwenden zu können. So unterliegen beispielsweise sogenannte „Background-Checks“ strengen (datenschutzrechtlichen) Vorgaben, auch die Vorlage von (erweiterten) Führungszeugnissen ist nur in Ausnahmefällen zulässig.
Darüber hinaus ist im Einzelfall zu prüfen, ob kollektivrechtlich die (Mitbestimmungs-) Rechte von Arbeitnehmer-Vertretungsgremien zu berücksichtigen sind. So können beispielsweise bei betrieblichen Fortbildungsmaßnahmen die Mitbestimmungsrechte des Betriebsrates gemäß § 98 BetrVG zu beachten sein. Gleiches gilt für die zwingende Mitbestimmung gemäß § 87 BetrVG, beispielsweise bei der Einrichtung von Zugangskontrollen, der Festlegung verbindlicher Verhaltensregeln im Betrieb, der Flexibilisierung von Arbeitszeitregelungen oder der Einrichtung technischer Einrichtungen.
Umsetzung arbeitsrechtlicher Handlungspflichten für KRITIS-Betreiber kurzfristig beginnen
KRITIS-Betreiber unterliegen bereits heute durch das BSIG und weiteren Spezialgesetzen strengen regulatorischen Pflichten. Diese Pflichten werden durch die Umsetzung der NIS-2-Richtlinie erweitert und bei Inkrafttreten des KRITIS-Dachgesetzes auf ein neues Level gehoben. Die Umsetzung dieser Pflichten geht – auch aufgrund des Gesetzeszwecks des KRITIS-Dachgesetzes – weit über rein technische Maßnahmen hinaus.
Arbeitgebern ist zu empfehlen, die Anwendbarkeit gesetzlicher Vorgaben detailliert zu prüfen, um im Fall der Anwendbarkeit umfassende Maßnahmen zu ergreifen. Bei der Erstellung eines Gesamtkonzepts sind insbesondere diverse arbeitsrechtliche Themenfelder zu berücksichtigen. Für Geschäftsleitungen sind neben der Haftung insbesondere die bußgeldbewährten Ordnungswidrigkeiten zu beachten.
Mit der Erstellung eines Gesamtkonzeptes sollte auch bereits vor Umsetzung der NIS-2-Richtlinie und vor Inkrafttreten des KRITIS-Dachgesetzes begonnen werden, weil Handlungspflichten bereits heute bestehen, die Erstellung eines Konzeptes einige Zeit in Anspruch nimmt und sich weitergehende Pflichten in bestehende Konzepte integrieren lassen.