Zunehmende Regulierung und ihre Auswirkung auf die Unternehmenssicherheit

Die grundsätzliche Begründung für Regulierungen erklärt zugleich ihre kontinuierliche Verdichtung: Jede Regulierung ist ein unabdingbares Instrument zur Betreuung und zum Schutz der Bevölkerung durch den Staat. Fortschritte in der gesellschaftlichen, wirtschaftlichen und technologischen Entwicklung führen unweigerlich zu neuen Regulierungen durch Rechtsnormen und technische Normen. Dazu kommt, dass die Gesellschaft insgesamt und ihre politischen Vertreter ein immer höheres Maß an Gerechtigkeit verlangen – vor allem durch Regulierungen der Lebensverhältnisse und der Märkte. Und auch das Verlangen nach sozialer, physischer und technologischer Sicherheit verstärkt zunehmend die Regulierungsdichte. Der Verbraucherschutz nimmt tendenziell zu und führt zu immer neuen Regulierungen.

Insgesamt ist unser demokratisches System auf eine kontinuierliche Regulierung durch Gesetze und Verordnungen hin ausgerichtet. In der Mehrschichtigkeit des nationalen politischen Systems haben alle Ebenen eine normative Kompetenz: Kommunen, Bundesländer und Bund. Hinzu kommen auf internationaler Ebene die EU und die UNO. Diese Mehrschichtigkeit erhöht die Regulierungsdichte – und darüber hinaus erfordert die Globalisierung der Wirtschaft und des Handels immer neue internationale Regulierungen.

Auswirkungen auf die Unternehmenssicherheit

Aus den gerade genannten Gründen haben Regulierungen seit Bestehen der Bundesrepublik Deutschland kontinuierlich zugenommen. Das lässt sich im Rechtsnormenbereich schon am wachsenden Umfang der Jahresbände des Bundesgesetzblattes ablesen. Und immer mehr Gesetze und Verordnungen regulieren auch die Unternehmenssicherheit. Sie verpflichten einerseits Unternehmen zu Sicherheitsmaßnahmen und erhöhen andererseits die Anforderungen an den Einsatz von Sicherheitstechnik im Security- wie im Safetybereich durch Produktsicherheitsvorschriften, Verpflichtungen zu „security by design“, Zuverlässigkeits- und Qualifizierungsvoraussetzungen für Sicherheitsdienstleistungen.

Dem Unternehmer ist es zwar verfassungsrechtlich grundsätzlich freigestellt, ob und in welchem Ausmaß er sein Unternehmen, seine Betriebs- und Geschäftsprozesse vor kriminellen Angriffen und Schadensereignissen schützen will. Für den Schutz seiner Beschäftigten gibt es aber Vorschriften des Arbeitsschutzes, des Brandschutzes und der Maschinensicherheit sowie des Schutzes der Persönlichkeitsrechte, insbesondere der persönlichen Daten. Dazu gehören auch die Unfallverhütungsvorschriften. Und Gesetze zur Abwehr schwerwiegender Gefahren (z. B. Sprengstoffgesetz, Chemikaliengesetz, Gefahrstoff-VO, Störfall-VO, Strahlenschutz-VO, Luftsicherheitsgesetz) enthalten ebenfalls Rechtspflichten zur Unternehmenssicherheit.

Änderung der Bedrohungslage und technische Entwicklung

Die Zunahme dieser Regulierungen beruht teilweise auf der Verstärkung der jeweiligen Bedrohungslage, teilweise auf technologischen Entwicklungen. Sie ist auch durch die in vielen Gesetzen ausdrücklich vorgeschriebene periodische Evaluierung der Notwendigkeit und durch wiederkehrende Forderungen der Datenschutzbeauftragten des Bundes und der Länder nach einer wissenschaftlichen Evaluierung im Sicherheitsbereich nicht aufgehalten worden.

Mit der fortschreitenden Digitalisierung der Infrastruktur der Unternehmen nehmen die Normen zum Schutz der Transformationsprozesse durch Cyberkriminalität kontinuierlich zu. Wachsende Möglichkeiten, Sicherheitsprodukte und -komponenten zertifizieren zu lassen, erhöhen laufend die Zahl und den Umfang der technischen Normen (DIN-Normen, EN-Normen, VDE-Anwendungsregeln, VDI-Richtlinien, VdS-Richtlinien, VDMA-Einheitsblätter). Ihre Einhaltung ist zwar nicht rechtlich verpflichtend, bildet aber die Voraussetzung für als Nachweis für Zuverlässigkeit und Wirksamkeit wichtigen Zertifizierungen.

Belastung der Unternehmer

Mit der Anzahl und dem Umfang der technischen Normen steigt aber auch die Belastung der Unternehmer und wachsen die Kosten, die für Sicherheitsvorkehrungen entstehen. Fachkräfte müssen neu eingestellt oder geschult, Sicherheitsgeräte und -anlagen neu beschafft, betrieben und gewartet werden. Hinzu kommt das kontinuierlich erforderliche Monitoring der Umsetzung und Einhaltung von Sicherheitsvorschriften und technischen Normen. Andererseits verstärken die zahlreichen Regulierungen im Sicherheitsbereich die physische wie die informationstechnische Unternehmenssicherheit, die Zuverlässigkeit und Wirksamkeit der Sicherheitsinstrumente, und entfalten Präventionswirkungen durch die Androhung von Sanktionen und Strafen.

Aktuelle Beispiele aus der Bundesgesetzgebung

Im Koalitionsvertrag der Ampelkoalition 2021 lassen sich im Abschnitt „Innere Sicherheit“ Gesetzgebungsvorhaben in den Bereichen Datenschutz, Datenbanken, Sicherheitsdienstleistung und Überwachungssoftware herauslesen. In der im November 2022 veröffentlichten Digitalstrategie der Bundesregierung werden im Abschnitt „Innovative Wirtschaft, Arbeitswelt, Wissenschaft und Forschung“ weitere umfangreiche Gesetzgebungsvorhaben angekündigt. Besonders eindrucksvoll ist die kontinuierliche Verstärkung der IT-Sicherheitsgesetzgebung im IT-Sicherheitsgesetz 1.0 von 2015 und dem IT-Sicherheitsgesetz 2.0 vom Mai 2021.

Die Zunahme der Regulierung der Unternehmenssicherheit hängt auch von der Auswirkung auf die öffentliche Sicherheit ab. Das gilt besonders für den weiten Bereich kritischer Infrastrukturen. Je höher die Kritikalität in der politischen und der gesellschaftlichen Bewertung aufgrund zunehmender Risiken ansteigt, umso mehr nehmen die Sicherungspflichten der Betreiber zu (vgl. §§ 8a, 8b, 8c, 8f, 9b BSIG idF des IT-Sicherheitsgesetzes 2.0. So sieht § 8a Abs. 1a die Verpflichtung der Betreiber von KRITIS zum Einsatz von Systemen zur Angriffserkennung vor).

KRITIS-Dachgesetz und Liefer­kettensorgfaltspflichtengesetz

Das geplante KRITIS-Dachgesetz soll zum ersten Mal das Gesamtsystem des physischen Schutzes kritischer Infrastrukturen normieren. Dazu gehört die Einrichtung eines betrieblichen Risiko- und Krisenmanagements, die Erstellung von Resilienzen und die Umsetzung geeigneter und verhältnismäßiger technischer, personeller und organisatorischer Sicherheitsvorkehrungen. Zudem werden Regelungen geprüft, die KRITIS vor Einflüssen und Abhängigkeiten von „bedenkenlosen“ Herstellern aus dem Ausland schützen sollen. Ein aktuelles Beispiel für Gesetzgebung, deren Zumutbarkeit für betroffene Unternehmen höchst umstritten ist, bildet das im Juni 2021 verabschiedete deutsche Lieferkettensorgfaltspflichtengesetz. Es macht Unternehmen – zunächst solche mit mehr als 3.000 Mitarbeitern, ab 2024 auch mit mehr als 1.000 Beschäftigten in Deutschland –  grundsätzlich für die Einhaltung der Menschenrechte in ihrer gesamten Lieferkette verantwortlich. Bei den Wirtschaftsverbänden stößt das Gesetz auf heftigen Widerstand. Der Arbeitgeberverband Gesamtmetall hält es für „ungeeignet, ungerecht, und es türmt unsinnige Belastungen für die Unternehmen aufeinander“. Bei einer Lieferkette mit dem „Weiterreichen von Aufträgen über 14 Stufen“ – so ein Beispiel aus Bangladesch – halten Minister das Vordringen bis auf die unterste Ebene für möglich, Praktiker jedoch für undenkbar (FAZ am 29.12.2022).

Rechtsakte der EU

Erhebliche Auswirkungen auf die Unternehmenssicherheit haben die Rechtsakte, die die EU in jüngerer Zeit in den Bereichen Datenschutz, IT-Sicherheit und KRITIS-Schutz erlassen hat, so

• die Datenschutzgrundverordnung (DGSVO) zur Sicherung eines einheitlich hohen Datenschutzniveaus in allen Mitgliedsländern
• die VO vom 7.6.2019 über die ENISA und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik
• die Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der Union (NIS 2) vom 28.11.2022
• die VO über die Betriebsstabilität digitaler Systeme (Digital Operational Resilience Act) vom 28.11.2022 für die IT-Sicherheit von Finanzunternehmen
• die Richtlinie zur Stärkung der Resilienz kritischer Infrastruktur mit strengen Regeln für die Risikobewertung und Berichterstattung für wesentliche Akteure in 11 kritischen Infrastrukturbranchen vom 28.11.2022: Kritisbetreiber müssen künftig in der Lage sein, hybride Angriffe, Naturkatastrophen infolge des Klimawandels, terroristische Bedrohungen und Notlagen im Bereich der öffentliche Gesundheit möglichst abzuwehren und entsprechende Krisensituationen zeitnah zu bewältigen
• den Artificial Intelligence Act (AIA) zur Gewährleistung eines sicheren, ethischen und grundrechtskonformen Einsatzes von künstlicher Intelligenz in allen Lebensbereichen
• den Digital Service Act (DAS) mit Sorgfaltspflichten für Anbieter von Online-Diensten mit mehr als 45 Millionen Nutzern und
• den Digital Market Act (DMA) mit Vorgaben für sog. Gatekeeper, die eine binnenmarkt-relevante Größe aufweisen und einen „zentralen Plattformdienst“ in mindestens drei EU-Ländern anbieten.

Dies verdeutlicht eindringlich, wie die Mehrschichtigkeit von Normierungszuständigkeiten in der EU durch nationale Gesetzgebung und Rechtsakte der EU – unmittelbar geltende Verordnungen und von den Mitgliedstaaten umzusetzende Richtlinien – die Regelungsdichte weiter erhöht.

Was tun?

Wegen der Vielschichtigkeit der Gründe für den Anstieg der Regulierungsdichte hat es keinen Sinn, diese Entwicklung pauschal abzulehnen. Eine kritische Haltung gegenüber der Normenflut und vor allem der damit für die Unternehmen verbundenen Belastungen ist aber im Einzelnen geboten. Die Unternehmensführung hat verschiedene Möglichkeiten, den Umfang der Belastungen immer wieder zu hinterfragen und teilweise zu reduzieren: Bei der Wahrnehmung von Dokumentations-, Melde- und Berichtspflichten kann bürokratischer Aufwand insbesondere durch Digitalisierung vermindert werden. Bei der Umsetzung von Vorgaben physischer Schutzvorkehrungen sollten alle Möglichkeiten moderner Technologie angewendet werden, um möglichst ressourcensparende Ergebnisse ohne Einbußen an Effizienz und Wertschöpfung zu erzielen.

Bei der Wahrnehmung von Rechtspflichten zur IT-Sicherheit empfiehlt es sich, die zahlreichen und laufend aktualisierten Unterstützungsangebote der Sicherheitsbehörden – insbesondere des BSI – wie der mit IT- und Kommunikationssicherheit befassten Bundesverbände – insbesondere Bitkom und ASW – und IT-spezifischer Sicherheitsdienstleister in Anspruch zu nehmen. Wichtig ist dies vor allem für KMU, denen es oft an entsprechenden personellen und finanziellen Ressourcen mangelt.

Aufgabe der Spitzenorganisationen BDI, DIHK und ZVEI sowie der für Sicherheit in der Wirtschaft zuständigen Bundesverbände – wie ASW, BDSW, BDLS, BDGW, BHE, Bitkom – ist es, gegenüber der zunehmenden Regulierungsflut keine pauschal ablehnende, aber eine konstruktiv kritische Haltung einzunehmen und die Prüfung der Notwendigkeit und Angemessenheit von Belastungen der Wirtschaft im Sicherheitsbereich kontinuierlich zu prüfen und entsprechende Kritik vor allem im Lobbying wie vor allem in Anhörungen im Gesetzgebungsverfahren zu äußern.

Insbesondere ist darauf zu achten, dass belastende Gesetze eine Evaluierungsklausel (wie z. B. in Art. 6 des IT-Sicherheitsgesetzes 2.0) enthalten und eine solche Evaluierung auch zeitgerecht durchgeführt und umgesetzt wird. Die kontinuierliche kritische Prüfung der immensen Zunahme von Rechtsakten der EU mit Auswirkung auf die Unternehmenssicherheit und die damit verbun-denen Belastungen ist Aufgabe der Interessenvertreter der Wirtschaft in Brüssel, vor allem europäischer Wirtschaftsverbände wie CoESS (Confederation of European Security Services).