Gelten bald auch für die sozial orientierte Wohnungswirtschaft erhöhte Cybersicherheitspflichten?
Quelle: Shawn – stock.adobe.comCybersicherheit: Sind Wohnquartiere kritische Infrastruktur?
Cybersicherheit ist ein Thema, das zunehmend an Bedeutung gewinnt. Aufgrund der COVID-19-Pandemie wurden nahezu über Nacht viele Prozesse in den digitalen Raum verlagert, sodass die EU-Kommission im Dezember 2020 als Teil ihrer Cybersicherheitsstrategie eine Reform der NIS1-Richtlinie vorschlug, die in Deutschland seit 2016 durch das Gesetz
über das Bundesamt für Sicherheit in der Informationstechnik („BSIG“) umgesetzt ist.
Der Angriffskrieg Russlands auf die Ukraine hat eine neue Bedrohungslage ausgelöst, die den Gesetzgeber zu einer Überarbeitung der bestehenden Regulatorien veranlasst: Am 16. Januar 2023 ist die Richtlinie (EU) 2022/2555 („NIS2-Richtlinie“) in Kraft getreten. Die Mitgliedsstaaten müssen sie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Mit der Umsetzung der NIS2-Richtlinie gelten für viele Unternehmen und Organisationen verpflichtende Sicherheitsmaßnahmen und Meldepflichten.
EU-Richtlinie wird in nationales Recht überführt
Die NIS2-Richtlinie zielt auf ein besseres gemeinsames Cybersicherheits-
niveau in der EU ab und erweitert erweitert den bisher auf kritische Infrastrukturen und ausgewählte Sonderfälle beschränkten Anwendungsbereich der europäischen Regelungen zur Cybersicherheit auf große Teile der Wirtschaft.
Sofern Wohnungsunternehmen, Wohnungsgenossenschaften oder
deren Töchter in Sonderbereichen tätig sind (z. B. Spareinrichtung, Energieproduzent/netzbetreiber, Telekommunikationsnetzbe-
treiber) gelten für diese schon lange weitere gesetzliche Anfor-derungen. Ob auch Wohnungsunternehmen und -genossenschaften zukünftig dem neuen Anwendungsbereich unterliegen werden, ist noch unklar.
Definition kritische Infrastrukturen („KRITIS“) gem. § 2 Abs. 10 BSIG:
Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen,
bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen
Sicherheit oder andere dramatische Folgen eintreten würden.
In der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) findet sich eine Auflistung verschiedenster Bereiche mit Schwellenwerten.
Neben Betreibern kritischer Infrastrukturen gibt es zudem gesonderte Pflichten für Anbieter digitaler Dienste (§ 2 Abs. 11 BSIG) sowie Unternehmen im besonderen öffentlichen Interesse („UBI“) (§ 2 Abs. 14 BSIG).
Diese Kategorien sollen Unternehmen erfassen, die zwar keine Betreiber kritischer Infrastrukturen sind, aber deren Informations-sicherheit aus anderen Gründen von Bedeutung ist.
Bisher fallen Wohnungsunternehmen und -genossenschaften in der Regel nicht unter die Auflistung. In der NIS2-Richtlinie bleiben die KRITIS-Sektoren der kritischen Anlagen bestehen und werden erweitert. Die Kategorie „Unternehmen im besonderen öffentli-
chen Interesse“ sowie die Kategorie „Anbieter digitaler Dienste“ entfallen und werden nur noch in „wesentliche“ und „wichtige“
Einrichtungen unterteilt (Anhänge I und II zur NIS2-Richtlinie).
Quelle: VdW Rheinland Westfalen
Entwurf für das Bundesgesetz
Das Gesetz zur Umsetzung liegt seit Frühling 2023 als Entwurf vor. Die letzte Änderung wurde im Juli 2023 vollzogen (Referentenentwurf des Bundesministeriums des Innern und für Heimat – Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des
Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2Um-suCG)).
Das Gesetz liegt bisher nur als zweiter Referentenentwurf vor, d. h. es muss nach Abstimmung in der Bundesregierung noch
die Gesetzgebung auf Bundesebene durchlaufen.
Das NIS2UmsuCG ist ein Änderungsgesetz, das die Artikel verschiedener anderer Gesetze umstrukturiert, ändert und ergänzt – primär das BSI-Gesetz. Die Mitgliedsstaaten der Europäischen Union müssen bis zum 17. April 2025 zudem eine Liste mit den genannten Einrichtungen vorlegen.
Wesentlich ist, dass wie auch bisher der Energiesektor als kritische Infrastruktur erfasst ist. Unklar ist in diesem Zusammenhang, welche Auswirkungen es haben wird, dass immer mehr Energie dezentral durch Wohnungsunternehmen und -genossenschaften selbst erzeugt wird. Dies könnte möglicherweise zu einer erheblichen Ausweitung des Anwendungsbereichs auf die Wohnungswirtschaft führen. Darüber hinaus sollen auch Betreiber von Ladepunkten für Elektromobilität erfasst sein. Auch dies könnte im Hinblick auf die Entwicklung der Mobilitätskonzepte in der sozial orientierten Wohnungswirtschaft zu einer Einbeziehung von Wohnungs-unternehmen und Wohnungsgenossenschaften in den Anwendungsbereich führen.
Im Vergleich zur NIS1-Richtlinie sieht die NIS2-Richtlinie einen deutlich umfassenderen Pflichtenkatalog vor. Darüber hinaus werden die Meldepflichten bei einem Sicherheitsvorfall erheblich verschärft.
Auch für Unternehmen, die nicht in den Anwendungsbereich fallen, soll zukünftig jedoch eine freiwillige Meldung von Sicher-heitsvorfällen bei den Aufsichtsbehörden möglich sein, ohne dass hierdurch zusätzliche Pflichten entstehen sollen. Für
Unternehmen im Anwendungsbereich ist insbesondere zu berücksichtigen, dass für Pflichtverletzungen strenge Bußgeld-tatbestände vorgesehen sind und auch eine persönliche Haftung der Leitungsorgane in Betracht kommt.
Es bleibt abzuwarten, in welcher Form die Richtlinie abschließend umgesetzt wird, bisher liegt nur ein Referentenentwurf vor. Im
Hinblick auf die regulatorische Komplexität, die bereits durch die DSGVO, TTDSG, BSIG und TKG gegeben ist, führt die neue Richtlinie jedenfalls nicht zu einer Vereinfachung der aktuellen Gesetzgebung.