Informationssicherheit unter geopolitischem Vorbehalt

Warum NIS2 rechtliche Bewertungen grundlegend verschiebt

Informationssicherheit wird in vielen Organisationen, trotz der NIS2-Richtlinie, noch immer primär als technische oder operative Aufgabe verstanden. Zuständigkeiten liegen bei IT, Security oder Compliance; rechtliche Bewertungen folgen häufig erst im zweiten Schritt.

Diese Sichtweise greift zunehmend zu kurz.

Geopolitische Volatilität, neue datengetriebene Auswertungsmöglichkeiten und eine strategische Neubewertung von Informationen verändern den Kontext, in dem Informationssicherheit heute rechtlich zu beurteilen ist. Mit der Umsetzung der NIS2-Richtlinie in Deutschland wird diese Veränderung erstmals deutlich in verbindliche Pflichten übersetzt.

Aus anwaltlicher Sicht stellt sich damit eine zentrale Frage:

Sind die bisherigen Annahmen, auf denen rechtliche Bewertungen von Informationssicherheitsmaßnahmen beruhen, noch tragfähig?

Informationssicherheit als rechtliche Organisationspflicht

Rechtlich war Informationssicherheit schon bislang kein rein technisches Thema. Spätestens mit etablierten Standards wie ISO-basierten Managementsystemen und spezialgesetzlichen Anforderungen im KRITIS-Umfeld war klar, dass es um Organisation, Prozesse und Verantwortlichkeiten geht.

NIS2 verschärft diesen Ansatz deutlich. Informationssicherheit wird ausdrücklich zu einer Leitungsaufgabe. Der Fokus liegt nicht mehr allein auf einzelnen Maßnahmen, sondern auf der Fähigkeit der Organisation, Risiken strukturiert zu erkennen, zu bewerten und zu steuern.

Maßgeblich ist dabei nicht, ob ein Sicherheitsvorfall eingetreten ist. Rechtlich relevant ist, ob die zugrunde liegende Sicherheitsarchitektur – organisatorisch wie technisch – unter den gegebenen Rahmenbedingungen als angemessen gelten konnte.

NIS2 in Deutschland: größerer Anwendungsbereich, verschobener Maßstab

Mit der Umsetzung der NIS2-Richtlinie wird der Kreis der verpflichteten Unternehmen und Einrichtungen erheblich ausgeweitet. Betroffen sind nicht mehr nur klassische Betreiber kritischer Infrastrukturen, sondern eine Vielzahl von Unternehmen, deren Funktionsfähigkeit als wesentlich für Wirtschaft und Gesellschaft angesehen wird.

Gleichzeitig verschiebt sich der Maßstab der Bewertung:

• Informationssicherheitsrisiken sind fortlaufend zu bewerten,
• Maßnahmen müssen an veränderte Rahmenbedingungen angepasst werden,
• und die Leitungsebene trägt eine ausdrücklich benannte Verantwortung.

Damit wird Informationssicherheit zu einer Frage ordnungsgemäßer Unternehmensorganisation – vergleichbar mit Compliance, Risikomanagement oder internen Kontrollsystemen.

Geopolitische Risiken als rechtlich relevante Prognosefaktoren

Neu ist weniger das Bestehen von Risiken als deren Bewertung.

Datenverarbeitung, Cloud-Nutzung und KI-gestützte Analyse erfolgen zunehmend in einem Umfeld, in dem politische, wirtschaftliche und regulatorische Entscheidungen kurzfristiger und weniger berechenbar getroffen werden. Zugleich ermöglichen neue Technologien eine bislang nicht gekannte Verdichtung und Auswertung von Informationen.

Aus rechtlicher Sicht stellt sich damit nicht die Frage, ob solche Entwicklungen eintreten müssen, sondern ob sie bei der Risikoprognose berücksichtigt werden mussten.

Informationssicherheit bemisst sich nicht mehr allein an bekannten Bedrohungsszenarien, sondern an der Belastbarkeit der zugrunde gelegten Annahmen. Was gestern als theoretisches Restrisiko galt, kann heute ein relevanter Bewertungsfaktor sein.

Datenschutz als Teil der Informationssicherheitsbewertung

Datenschutz bleibt ein zentraler Bestandteil dieser Betrachtung – allerdings nicht isoliert.

Zweckbindung, Zugriffsmöglichkeiten und Datenaggregation sind aus rechtlicher Sicht nicht nur datenschutzrechtlich relevant, sondern beeinflussen die Gesamtbewertung der Informationssicherheit. Gerade bei der Zusammenführung vormals getrennter Datenbestände und der Nutzung externer Infrastrukturen stellt sich die Frage tatsächlicher Kontrolle neu.

Datenschutz ist damit kein Gegenpol zur Informationssicherheit, sondern ein integraler Bestandteil ihrer rechtlichen Risikobewertung.

Geschäftsleiterverantwortung und Ex-post-Perspektive

Mit NIS2 rückt die Verantwortung der Geschäftsleitung deutlich in den Vordergrund. Maßgeblich ist nicht nur, welche Maßnahmen ergriffen wurden, sondern:

• auf welchen Annahmen sie beruhten,
• wie Risiken bewertet wurden,
• und ob Entscheidungen dokumentiert und überprüfbar sind.

Rechtlich entscheidend ist dabei stets die Ex-post-Perspektive:
Konnten die getroffenen Annahmen unter den damaligen Umständen als vertretbar gelten?

Informationssicherheit wird damit zu einer Frage rechtlicher Vorsorge. Wer Risiken strukturell unterschätzt oder relevante Entwicklungen nicht in die Bewertung einbezieht, setzt sich nicht nur technischen, sondern auch rechtlichen Risiken aus.

Einordnung

Informationssicherheit ist unter NIS2 und veränderten geopolitischen Rahmenbedingungen kein rein operatives Thema mehr. Sie wird zu einer rechtlich einklagbaren Organisations- und Leitungsaufgabe.

Datenschutz, IT-Sicherheit und regulatorische Anforderungen lassen sich dabei nicht mehr getrennt betrachten. Maßgeblich ist eine integrierte Bewertung, die technische Maßnahmen, organisatorische Strukturen und rechtliche Annahmen gleichermaßen einbezieht.

Diese Neubewertung ist anspruchsvoll – aus rechtlicher Sicht jedoch konsequent.

Haben Sie weitere Fragen zu diesem Thema? Vadim erreichen Sie hier.