Rechtliche Rahmenbedingungen – IT-Sicherheit wird Pflicht

IT-Sicherheit ist nicht mehr nur freiwillige Kür, sondern zunehmend gesetzliche Pflicht. Bisher waren vor allem große Unternehmen und Kritische Infrastrukturen reguliert, aber neue Vorgaben weiten den Kreis aus – auch auf mittlere Unternehmen bestimmter Sektoren. In diesem Artikel geben wir einen verständlichen Überblick über die wichtigsten Gesetze, Richtlinien und Standards zur Cybersecurity, die KMU kennen sollten.

DSGVO: Datenschutz und IT-Sicherheit Hand in Hand

Die Datenschutz-Grundverordnung gilt seit 2018 und betrifft praktisch alle Unternehmen. Was viele nicht wissen: Die DSGVO fordert im Artikel 32 ausdrücklich „geeignete technische und organisatorische Maßnahmen“, um personenbezogene Daten zu schützen. Das bedeutet faktisch IT-Sicherheit nach Stand der Technik.

Für KMU heißt das: Zutrittskontrollen, Zugangskontrollen, Verschlüsselung, Backup und weitere IT-Sicherheitsmaßnahmen sollten umgesetzt sein, wenn Sie z.B. Kundendaten verarbeiten. Bei einem Hackerangriff mit Datenabfluss müssen Sie binnen 72 Stunden die Datenschutzbehörde und ggf. die Betroffenen informieren.

Kommen Sie diesen Pflichten nicht nach oder war der Angriff Folge mangelhafter Sicherheitsvorkehrungen, drohen empfindliche Strafen. Die Behörden haben bereits in mehreren Fällen Bußgelder wegen unzureichender technischer Schutzmaßnahmen nach Cyberangriffen verhängt. Datenschutz und IT-Sicherheit sind also eng verzahnt.

IT-Sicherheitsgesetz und KRITIS-Verordnung

Das IT-Sicherheitsgesetz von 2015 (mit Novelle 2.0 von 2021) richtet sich primär an Betreiber sogenannter Kritischer Infrastrukturen (KRITIS) – also große Unternehmen aus Branchen wie Energie, Wasser, Gesundheit oder Finanzen. Die meisten KMU fallen hier nicht darunter.

Allerdings gibt es indirekte Auswirkungen: Wenn Sie ein Zulieferer für einen KRITIS-Betreiber sind, kann dieser Ihnen in Verträgen bestimmte Sicherheitsstandards vorschreiben, um seine eigenen gesetzlichen Verpflichtungen zu erfüllen. Ein Maschinenbauer, der z.B. Steuerungstechnik an einen Stromnetzbetreiber liefert, muss unter Umständen selbst hohe Sicherheitsauflagen erfüllen.

Zudem hat das IT-SiG 2.0 auch Unternehmen mit „voher volkswirtschaftlicher Bedeutung“ im Blick – hierunter können auch größere Mittelständler fallen. Es lohnt sich also, zu prüfen, ob man eventuell zu diesem Kreis gehört.

Für KMU generell dienen die IT-Sicherheitsgesetze aber zumindest als Orientierung, was aktuell als „Stand der Technik“ gilt – das BSI gibt dafür die Maßstäbe in Form der IT-Grundschutz-Kataloge vor.

NIS2-Richtlinie: Erweiterte Pflichten für viele Unternehmen

Die neue EU-Richtlinie NIS2 (Network and Information Systems) stellt eine bedeutende Ausweitung dar. Sie tritt schrittweise ab 2024/25 in Kraft und erweitert den Kreis der Unternehmen, die Cybersecurity-Mindeststandards einhalten müssen, erheblich.

Nach Expert*innen-Schätzungen werden etwa 30.000 Unternehmen in Deutschland unter die NIS2-Regelungen fallen – deutlich mehr als bisher unter das IT-Sicherheitsgesetz. Darunter fallen beispielsweise:

• Größere mittelständische IT-Dienstleister
• Hersteller von Medizinprodukten
• Bestimmte Lebensmittelunternehmen
• Abfallentsorger
• Teile des öffentlichen Sektors

Auch „wichtige“ Unternehmen ab etwa 50 Millionen Euro Umsatz in bestimmten Branchen zählen dazu. Die genaue Umsetzung ins deutsche Recht steht noch aus (Gesetzesentwurf in Arbeit).

Wer unter die NIS2-Regelungen fällt, muss dann angemessene technische und organisatorische Maßnahmen nach Stand der Technik umsetzen und erhebliche Vorfälle ans BSI melden. Zudem gibt es Sanktionsmöglichkeiten, inklusive persönlicher Haftung von Führungskräften bei groben Versäumnissen.

Für betroffene Mittelständler wird IT-Sicherheit damit endgültig zur Pflichtaufgabe auf höchster Ebene.

Branchenstandards und Zertifizierungen

Unabhängig von Gesetzen entstehen auch branchenbezogene Anforderungen, die faktisch verbindlich werden. Beispiele:

• Automobilbranche: TISAX (Trusted Information Security Assessment Exchange) – eine Zertifizierung, die Automobilhersteller oft von ihren Zulieferern verlangen
• Luftfahrt: EN 9100 mit IT-Security-Elementen
• Finanzwesen: BAIT-Regeln (Bankaufsichtliche Anforderungen an die IT) der BaFin, die auch für Dienstleister relevant sein können

Für viele KMU sind diese Zertifizierungen Voraussetzung, um überhaupt Aufträge in bestimmten Branchen zu erhalten. Es handelt sich um „freiwillige Pflichten“ – formal nicht vorgeschrieben, aber wirtschaftlich oft unverzichtbar.

Haftung und Sorgfaltspflichten der Geschäftsführung

Auch ohne direkte gesetzliche Vorgaben gilt: Jeder Geschäftsführer hat die Pflicht zur „ordnungsgemäßen Unternehmensorganisation“. Im digitalen Zeitalter gehört dazu auch, IT-Risiken nicht zu ignorieren.

Vernachlässigt die Geschäftsführung grundlegende IT-Sicherheitsmaßnahmen und entsteht dadurch ein Schaden, kann dies unter Umständen als Pflichtverletzung gewertet werden. Die Rechtsprechung entwickelt sich hier weiter.

Spätestens mit der NIS2-Richtlinie wird das Thema Compliance in der IT-Sicherheit an Bedeutung gewinnen. Es ist also klug, schon jetzt dokumentiert darauf zu achten, angemessene Schutzmaßnahmen zu treffen.

Praxis-Tipp: Vorausschauend handeln statt reaktiv hecheln

Prüfen Sie, ob Ihr Unternehmen unter neue Regelungen wie NIS2 fallen könnte. Orientieren Sie sich an bewährten Standards (ISO 27001, BSI IT-Grundschutz) – auch wenn sie freiwillig sind, signalisieren sie „Stand der Technik“.

Nutzen Sie Checklisten (z.B. vom BSI oder IHK) für Ihr IT-Sicherheitsniveau und holen Sie sich rechtzeitig Rat: Datenschutzbeauftragte, IHK-Veranstaltungen zu NIS2 etc. können helfen, den Überblick zu behalten.

Besser jetzt Schritt für Schritt Maßnahmen umsetzen, als später in kurzer Frist hektisch gesetzliche Auflagen erfüllen müssen oder nach einem Vorfall mit rechtlichen Konsequenzen konfrontiert zu werden. Vorausschauende IT-Sicherheit schützt nicht nur vor Hackern, sondern auch vor Problemen mit dem Gesetz.