top of page

NIS-2 – IT-Sicherheitsmaßnahmen und Betriebsrat

4. Feb.

Aktualisiert: vor 4 Tagen

Symbolbild: Würfel auf einer Tastatur, 3 Personen im Hintergrund mit Laptop, IT-Netzwerk-Symbol, Bücher, Justizia-Waage

Die fortschreitende Digitalisierung erhöht die Anforderungen an die IT-Sicherheitsmaßnahmen und Betriebsrat. Mit der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) hat die Europäische Union striktere Vorgaben für Unternehmen geschaffen, um kritische Infrastrukturen besser vor Cyberangriffen zu schützen. Anders als eine EU-Verordnung, die unmittelbar in allen Mitgliedstaaten gilt, muss eine EU-Richtlinie wie NIS-2 erst in nationales Recht umgesetzt werden. In Deutschland ist dieser Prozess noch nicht abgeschlossen, dennoch sollten Unternehmen – und damit auch Betriebsräte – bereits jetzt handeln, insbesondere wenn sie in grenzüberschreitenden Lieferketten tätig sind.


Hintergrund der NIS-2-Richtlinie


Die NIS-2-Richtlinie ist seit Januar 2023 in Kraft und verpflichtete EU-Mitgliedstaaten, bis spätestens 17. Oktober 2024 ihre nationalen Gesetze anzupassen. In Deutschland liegt der Entwurf des „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes“ (NIS2UmsuCG) vor, doch die Verabschiedung verzögert sich. Stand März 2025 ist das Gesetzgebungsverfahren durch die vorgezogenen Bundestagswahlen im Februar 2025 ins Stocken geraten.


Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt keine konkreten Prognosen für den Zeitplan, jedoch vermuten Experten auf Basis aktueller politischer Entwicklungen eine Verabschiedung im Sommer 2025 mit möglichem Inkrafttreten im Herbst 2025 (siehe BSI-Informationen).


Gegen Deutschland läuft zudem ein Vertragsverletzungsverfahren der EU-Kommission, eingeleitet im Februar 2025, was den Druck erhöht (siehe EU-Kommission, Pressemitteilung).


Viele EU-Staaten haben die Richtlinie bereits umgesetzt. Laut einem Bericht der EU-Kommission vom März 2025 sind Frankreich, Niederlande und Schweden fertig, während Länder wie Deutschland und Österreich noch ausstehen. Für Unternehmen mit Partnern in Ländern, wo NIS-2 gilt, entfaltet die Richtlinie über Lieferketten bereits Wirkung – auch ohne deutsches Gesetz.

Von NIS-1 zu NIS-2: Was ändert sich?


Die NIS-1-Richtlinie (Richtlinie (EU) 2016/1148) gilt in Deutschland seit 2017 über das IT-Sicherheitsgesetz und adressiert Betreiber kritischer Infrastrukturen (z. B. Energie, Gesundheit, Transport) sowie bestimmte digitale Diensteanbieter (z. B. Cloud-Anbieter). NIS-2 erweitert den Anwendungsbereich erheblich. Neu hinzukommen können:


  • Mittelgroße Unternehmen: Ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz, wenn sie in „wichtigen“ oder „maßgeblichen“ Sektoren tätig sind (z. B. Lebensmittelproduktion, Chemie).

  • Lieferanten kritischer Infrastrukturen: Zulieferer, die bisher nicht erfasst waren, fallen nun unter die strengeren Anforderungen.

  • Weitere digitale Dienste: z. B. soziale Netzwerke oder Online-Marktplätze.


Diese Erweiterung bedeutet, dass viele Unternehmen, die unter NIS-1 nicht betroffen waren, nun Vorkehrungen treffen müssen – mit Auswirkungen auf die Mitbestimmung.


Was bedeutet das für IT-Sicherheitsmaßnahmen und Betriebsrat?


Betriebsräte sind direkt betroffen, da viele Maßnahmen der IT-Sicherheit mitbestimmungspflichtig sind:


  • Überwachungstechnische Einrichtungen (§ 87 Abs. 1 Nr. 6 BetrVG):

    Systeme wie Netzwerk-Monitoring oder Security Information and Event Management (SIEM – Software zur Echtzeitüberwachung von Sicherheitsvorfällen) können Daten zur Leistungs- oder Verhaltenskontrolle erfassen und unterliegen der Mitbestimmung.

  • Regelungen zum Arbeitsverhalten (§ 87 Abs. 1 Nr. 1 BetrVG):

    Neue Passwortrichtlinien, Zugangsbeschränkungen oder Verhaltensvorgaben zur IT-Nutzung greifen in das Arbeitsverhalten ein und sind mitbestimmungspflichtig.

  • Schulungen (§ 37 Abs. 6 BetrVG):

    Betriebsräte haben Anspruch auf Schulungen zu IT-Sicherheit und Datenschutz, deren Kosten der Arbeitgeber trägt (§ 40 BetrVG).


Die Bedeutung dieser Rechte wächst, da die Umsetzung technischer organisatorischer Maßnahmen (TOMs) nicht nur durch das künftige NIS2UmsuCG, sondern auch durch Lieferkettenanforderungen vorangetrieben wird.


Praxisrelevante Beispiele und Lösungsansätze


Einführung von SIEM-Systemen zur Echtzeitüberwachung

  • Problem: Ein mittelständisches Produktionsunternehmen (60 Mitarbeiter), das bisher nicht unter NIS-1 fiel, plant ein SIEM-System, um Cyberangriffe frühzeitig zu erkennen. Das System erfasst Log-Daten wie Zugriffszeiten und -orte von Mitarbeitern, was Datenschutzbedenken aufwirft. Ein Zulieferer aus den Niederlanden, wo NIS-2 gilt, fordert diese Maßnahme als Voraussetzung für die weitere Zusammenarbeit im Rahmen der Lieferkettensicherheit.

  • Lösung: Der Betriebsrat verhandelt eine Betriebsvereinbarung, die den Zweck (ausschließlich Sicherheitsüberwachung) definiert, Daten anonymisiert und Zugriffsrechte auf IT-Sicherheitsbeauftragte beschränkt. Der Datenschutzbeauftragte prüft die Umsetzung, um Persönlichkeitsrechte zu schützen. Eine Informationsveranstaltung klärt die Belegschaft über den Hintergrund auf.


Neue Passwortregeln und Authentifizierungsmethoden

  • Problem: Ein Finanzdienstleister mit 150 Mitarbeitern führt auf Druck eines schwedischen Partners, der unter NIS-2 reguliert ist, strengere Passwortregeln (16 Zeichen, monatlicher Wechsel) und Multi-Faktor-Authentifizierung ein. Mitarbeiter sehen ihre Arbeitsprozesse verlangsamt und äußern Unmut über vermeintlich übertriebene Vorgaben.

  • Lösung: Der Betriebsrat initiiert eine Betriebsvereinbarung, die den Zweck (Erfüllung von Lieferkettenanforderungen) transparent macht und eine Testphase vorsieht, um die Regeln anzupassen. Eine Schulung zur Nutzung der neuen Authentifizierung wird organisiert, um die Akzeptanz zu erhöhen.


Für weitere Szenarien und eine allgemeine Checkliste zur Einführung von IT-Systemen und technischen organisatorischen Maßnahmen (TOMs) siehe: PDF-Download Checkliste (#).


Handlungsempfehlungen für die Praxis


  1. Rechtliche Entwicklungen verfolgen:

    Nutzen Sie Ihre Informationsrechte nach § 80 BetrVG, um über den Stand des NIS2UmsuCG und internationale Anforderungen informiert zu bleiben.

  2. Frühzeitig einbringen:

    Nehmen Sie Kontakt zu IT und Management auf, um neue Maßnahmen mitzugestalten – insbesondere bei Lieferkettenvorgaben.

  3. Kooperation mit Datenschutzbeauftragten:

    Stimmen Sie geplante Maßnahmen mit dem Datenschutzbeauftragten ab, um Datenschutzrisiken frühzeitig zu erkennen.

  4. Betriebsvereinbarungen abschließen:

    Legen Sie Zweck, Umfang und Grenzen neuer IT-Systeme verbindlich fest, um rechtliche Konflikte und Unklarheiten zu vermeiden.

  5. Schulungen nutzen:

    Organisieren Sie Weiterbildungen zur Cybersicherheit gemäß § 37 Abs. 6 BetrVG, um Ihre Kompetenzen zu stärken.


Fazit: Aktiv werden trotz unklarer nationaler Umsetzung


Die NIS-2-Richtlinie baut auf der bereits geltenden NIS-1 auf und erweitert den Kreis betroffener Unternehmen erheblich. Auch wenn das deutsche Umsetzungsgesetz noch aussteht, zwingt der europäische Kontext – insbesondere über Lieferketten – Unternehmen bereits jetzt zum Handeln. Für Betriebsräte bedeutet dies, dass sie ihre Mitbestimmungsrechte proaktiv nutzen sollten, um die Einführung von IT-Sicherheitsmaßnahmen mitzugestalten. Warten auf das finale Gesetz könnte bedeuten, entscheidende Entwicklungen zu verpassen. Eine frühzeitige Zusammenarbeit mit Geschäftsführung, IT und Datenschutzexperten ist daher unerlässlich.



 

Weiterführende Informationen und Quellen









 

Rechtlicher Hinweis:

Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine individuelle Beratung wenden Sie sich bitte an einen spezialisierten Rechtsanwalt. Für die Aktualität, Vollständigkeit und Richtigkeit kann trotz sorgfältiger Erstellung keine Gewähr übernommen werden

 


bottom of page