Keine Anwendung auf Kfz-Unternehmen
Die Absicherung von Cyberrisken sollte auch für Kfz-Unternehmen von elementarer Wichtigkeit sein, da mit erfolgreichen Cyberattacken auch ein hohes Kostenrisiko verbunden ist. Allerdings kann der ZDK weder bei der der NIS-2-EU-Richtlinie noch beim deutschen NIS-2-Umsetzungsgesetz (NIS = Network and Information Security) eine direkte Betroffenheit Autohäuser und Kfz-Werkstätten erkennen, sodass für diese die dort vorgesehenen bürokratischen Anforderungen (z. B. Melde- und Registrierpflichten) nicht gelten.
In den vergangenen Wochen kam es insbesondere von größeren Autohausgruppen zu vermehrten Rückfragen, ob die 2023 von der EU verabschiedete, sog. NIS-2-Richtlinie und das aktuell im Gesetzgebungsverfahren befindliche deutsche sog. Nis-2-Umsetzungsgesetz (Umsetzungsfrist: Oktober 20024) auch Anwendung auf Autohäuser und Werkstätten findet. Danach müssen sich die im Gesetz genannten Einrichtungen und Unternehmen der kritischen Infrastruktur mit gesetzlich vorgegebenen Pflichten vor mögliche IT-Vorfälle und Cyberangriffe schützen.
Zwar ist die Absicherung von Cyberrisken auch für Kfz-Unternehmen von elementarer Wichtigkeit, da mit erfolgreichen Cyberattacken auch ein hohes Kostenrisiko verbunden ist. Allerdings kann der ZDK weder bei der der NIS-2-EU-Richtlinie noch beim deutschen NIS-2-Umsetzungsgesetz eine Betroffenheit von Autohäusern und Kfz-Werkstätten erkennen, sodass für diese die dort vorgesehenen bürokratischen Anforderungen (z.B. Melde- und Registrierpflichten) nicht gelten.
1. Nach vorläufiger Einschätzung keine Betroffenheit von Autohäusern und Kfz-Werkstätten
Die zuständigen Behörden geben betroffenen Unternehmen keine Hinweise, zur Betroffenheit von der NIS-2-Gesetzgebung. Vielmehr müssen diese das selbst prüfen. Insoweit findet die NIS-2-EU-Richtilinie nach Artikel 2 Abs. 1 Anwendung auf solche private Einrichtungen, die im Anhang I oder II der Richtlinie genannt werden und die gleichzeitig die Schwellenwerte für mittlere Unternehmen überschreiten. Denn nur dann gelten sie als eine von der NIS-2-Richtlinie umfasste wesentliche oder wichtige Einrichtung. Autohäuser und Kfz-Werkstätten sind aber weder in Anhang I noch in Anhang II dieser Richtlinie genannt, sondern nur die Kraftfahrzeug- und Ersatzteilherstellung und der Fahrzeugbau. Da der Wortlaut hier eindeutig ist, fallen Unternehmen des Fahrzeughandels und der Fahrzeuginstandsetzung nicht unter den Anwendungsbereich der NIS-2-Richtlinie.
Entsprechend der NIS-2-EU-Richtlinie sind im deutschen NIS-2-Umsetzungsgesetz der Autohandel und die Kfz-Instandhaltung ebenfalls nicht in den Sektoren der Anlagen 1 und 2 des BSIG-E enthalten. Auch dort ist lediglich die „Herstellung von Kraftwagen und Kraftwagenteilen“ sowie der „sonstige Fahrzeugbau“ ausdrücklich genannt, so dass vom Wortlaut her Kfz-Unternehmen nicht als wichtige Einrichtungen zählen. Daran ändert nach Auffassung des ZDK auch §28 Abs. 2 Nr. 3 BSI-Gesetz-E nichts, der als wichtige Einrichtungen auch mittelgroße Unternehmen definiert, die anderen Waren oder Dienstleistungen der „in Anlage 1 oder 2 bestimmten Einrichtungsarten“ anbieten. Nach ZDK-Auffassung können hier nur Waren- und Dienstleistungen der Fahrzeug- und Ersatzteilhersteller gemeint sein und nicht die der nur mittelbar eingebunden Händler und Werkstätten. Auch angesichts der großen, ansonsten erfassten Unternehmens-anzahl kann eine Betroffenheit des Kfz-Gewerbes nicht gewollt sein. Eine entsprechende Absicht hätte der Gesetzgeber vielmehr – ähnlich wie beim Lebensmittelhandel - explizit mit in die kritischen Sektoren der Anlage 1 un 2 aufgenommen. Die Formulierung in § 28 BSIG-E ist
2. Maßnahmen, die Mitgliedsunternehmen erspart bleiben
Würden Autohäuser und Werkstätten unter die NIS-2-Gesetzgebung fallen müssten sie ( wie alle betroffenen Unternehmen) geeignete Maßnahmen ergreifen, um Cyber-Sicherheitsrisiken zu beherrschen und die Auswirkungen von Vorfällen möglichst gering zu halten. Im Rahmen einer Risikoanalyse müssen sie insbesondere IT-Sicherheitskonzepte vorhalten, Notfall- und Krisenmanagementkonzepte entwickeln, Lieferketten sicherstellen sowie Cybersicherheitsschulungen gewährleisten. Zudem müssen Betroffene Melde- und Berichtsplichten einhalten sowie eine Registrierung beim wahrscheinlich zuständigen BSI vornehmen. Bei einem Verstoß gegen diese genannten Maßnahmen und Meldepflichten (die z.B. bei Vor-Ort-Kontrollen oder im schriftlichen Verfahren auffallen können) drohen teils hohe Geldstrafen.