NIS2-Richtlinie: Cybersecurity-Pflichten für Patentkanzleien
Die NIS2-Richtlinie verschärft die Cybersecurity-Anforderungen. Welche Pflichten für Patentkanzleien und ihre Softwareanbieter gelten.
NIS2 und Patentkanzleien: Warum Cybersecurity jetzt Chefsache ist
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) hat die Cybersecurity-Landschaft in Europa grundlegend verändert. Seit Oktober 2024 ist sie durch nationale Umsetzungsgesetze - in Deutschland das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) - in nationales Recht überführt worden. Die Durchsetzung wird 2026 spürbar intensiviert, und Patentkanzleien stehen vor der Frage: Sind wir betroffen, und wenn ja, was müssen wir tun?
Die Antwort ist differenzierter, als die meisten erwarten.
Wer ist von NIS2 betroffen?
NIS2 erweitert den Anwendungsbereich gegenüber der Vorgängerrichtlinie erheblich. Erfasst werden "wesentliche" und "wichtige" Einrichtungen in 18 Sektoren. Rechtsdienstleistungen sind nicht explizit als eigener Sektor aufgeführt - aber das bedeutet nicht, dass Patentkanzleien automatisch außen vor sind.
Zwei Wege führen in den Anwendungsbereich:
Direkter Weg: Kanzleien, die als Dienstleister für Unternehmen in regulierten Sektoren arbeiten - Pharma, Automotive, Energie, Telekommunikation - können als Teil der Lieferkette erfasst werden. Art. 21 Abs. 2 lit. d NIS2 verlangt von regulierten Unternehmen, die Cybersecurity ihrer Lieferkette sicherzustellen. In der Praxis bedeutet das: Mandanten aus regulierten Branchen werden von ihren Kanzleien zunehmend Cybersecurity-Nachweise verlangen.
Indirekter Weg: Kanzleien, die digitale Infrastruktur betreiben oder Cloud-Dienste nutzen, die unter NIS2 fallen, müssen sicherstellen, dass ihre Anbieter compliant sind. Als Nutzer von NIS2-regulierten Diensten trifft sie eine Sorgfaltspflicht.
Hinzu kommt: Das deutsche NIS2UmsuCG hat den Anwendungsbereich über die EU-Mindestanforderungen hinaus erweitert. Unternehmen mit mehr als 50 Mitarbeitern oder mehr als 10 Millionen EUR Jahresumsatz in den erfassten Sektoren fallen direkt unter die Regelung. Größere Kanzleien und Kanzleiverbünde sollten prüfen, ob sie diese Schwellen überschreiten.
Überschneidung mit der DSGVO
NIS2 und DSGVO verfolgen unterschiedliche Ziele - NIS2 schützt Netz- und Informationssysteme, DSGVO schützt personenbezogene Daten - aber in der Praxis gibt es erhebliche Überschneidungen.
Beide verlangen Risikomanagement-Maßnahmen. Beide fordern Incident Reporting. Beide sehen empfindliche Sanktionen vor. Und beide erfordern technische und organisatorische Maßnahmen (TOMs).
Für Patentkanzleien, die bereits DSGVO-konform arbeiten, ist NIS2 kein kompletter Neuanfang. Die bestehenden TOMs bilden eine solide Grundlage. Aber NIS2 geht in einigen Bereichen weiter: Die Meldepflicht bei Sicherheitsvorfällen ist mit 24 Stunden für die Erstmeldung deutlich strenger als unter der DSGVO (72 Stunden). Und NIS2 verlangt explizit Maßnahmen zur Business Continuity und zum Krisenmanagement, die über den DSGVO-Rahmen hinausgehen.
Registrierungspflicht in Deutschland
Ein konkreter Meilenstein: Die Registrierungspflicht bei der zuständigen Behörde - in Deutschland dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Betroffene Einrichtungen mussten sich bis April 2026 registrieren. Wer diese Frist verpasst hat, sollte die Registrierung umgehend nachholen, da die Nichtregistrierung selbst bußgeldbewehrt ist.
Die Registrierung ist mehr als eine Formalität. Sie signalisiert dem BSI, dass die Einrichtung sich als betroffen anerkennt und die entsprechenden Pflichten wahrnimmt. Gleichzeitig wird sie als Kontaktpunkt für Sicherheitsmeldungen und Informationen über Cyberbedrohungen genutzt.
Praktische Cybersecurity-Maßnahmen
Was NIS2 konkret von betroffenen Einrichtungen verlangt, ist in Art. 21 geregelt. Für Patentkanzleien bedeutet das:
Incident Reporting: Sicherheitsvorfälle müssen innerhalb von 24 Stunden nach Kenntnis dem BSI erstgemeldet werden, gefolgt von einer detaillierten Meldung innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats. Ein "Sicherheitsvorfall" im Sinne von NIS2 ist jedes Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder Diensten beeinträchtigt.
Für Patentkanzleien ist das besonders kritisch: Ein Datenleck, das unveröffentlichte Patentanmeldungen betrifft, kann nicht nur NIS2-meldepflichtig sein, sondern auch den Neuheitsschutz der betroffenen Erfindungen gefährden.
Supply Chain Security: Die Sicherheit der Lieferkette ist explizit geregelt. Kanzleien müssen die Cybersecurity-Risiken ihrer Softwareanbieter, Cloud-Provider und IT-Dienstleister bewerten und dokumentieren. Das betrifft insbesondere Patent-Management-Software, Diktier- und Transkriptionsdienste, E-Filing-Systeme und KI-Tools.
Risikomanagement: NIS2 verlangt einen risikobasierten Ansatz. Das bedeutet: keine Checkliste abarbeiten, sondern die spezifischen Risiken der eigenen Organisation identifizieren und adressieren. Für eine Patentkanzlei sind die Hauptrisiken typischerweise: unbefugter Zugriff auf Mandantenakten, Ransomware-Angriffe auf die IT-Infrastruktur, Kompromittierung von E-Filing-Zugangsdaten und Social-Engineering-Angriffe auf Mitarbeiter.
Business Continuity: Pläne für die Aufrechterhaltung des Betriebs im Krisenfall. Wie arbeitet die Kanzlei weiter, wenn die IT-Systeme kompromittiert sind? Gibt es Offline-Backup-Verfahren für fristgebundene Patentanmeldungen? Sind die Fristenkalender redundant gesichert?
Schulung und Awareness: Alle Mitarbeiter - nicht nur die IT-Abteilung - müssen regelmäßig geschult werden. Phishing-Erkennung, sicherer Umgang mit Mandantendaten, Meldewege für Sicherheitsvorfälle. NIS2 verlangt, dass die Geschäftsleitung selbst an Cybersecurity-Schulungen teilnimmt (Art. 20 Abs. 2).
Pflichten für Patentsoftware-Anbieter
NIS2 betrifft nicht nur die Kanzleien, sondern auch deren Software-Lieferanten. Anbieter von Patentsoftware, die als Cloud-Service betrieben wird, fallen potenziell direkt unter NIS2 als Anbieter digitaler Dienste.
Was Kanzleien von ihren Softwareanbietern verlangen sollten:
- Nachweis der NIS2-Compliance (Zertifizierungen, Audit-Berichte)
- Transparenz über Serverstandorte und Datenverarbeitung
- Vertragliche Zusicherungen zu Incident-Reporting-Fristen
- Dokumentation der technischen Sicherheitsmaßnahmen
- Regelmäßige Penetrationstests und deren Ergebnisse
Anbieter, die EU-Serverstandorte und optionale On-Premise-Bereitstellung anbieten, geben Kanzleien mehr Kontrolle über die Datensicherheit und vereinfachen die NIS2-Compliance erheblich.
Sanktionen und Haftung
Die Sanktionen unter NIS2 sind beträchtlich:
- Für "wesentliche Einrichtungen": bis zu 10 Millionen EUR oder 2% des weltweiten Jahresumsatzes
- Für "wichtige Einrichtungen": bis zu 7 Millionen EUR oder 1,4% des weltweiten Jahresumsatzes
Besonders bemerkenswert: Art. 32 Abs. 6 NIS2 sieht eine persönliche Haftung der Geschäftsleitung vor. Leitungsorgane, die ihre Aufsichtspflichten in Bezug auf Cybersecurity vernachlässigen, können persönlich haftbar gemacht werden. Für geschäftsführende Partner von Patentkanzleien bedeutet das: Cybersecurity ist nicht delegierbar - sie ist Chefsache.
Fazit
NIS2 ist kein IT-Thema, das man an den Systemadministrator delegieren kann. Für Patentkanzleien, die hochsensible Mandantendaten verarbeiten und als Teil der Lieferkette regulierter Unternehmen agieren, sind die Cybersecurity-Pflichten real und durchsetzbar.
Der pragmatische Ansatz: Prüfen, ob die eigene Kanzlei direkt oder indirekt betroffen ist. Die bestehenden DSGVO-Maßnahmen als Ausgangspunkt nutzen und gezielt um NIS2-spezifische Anforderungen ergänzen. Die Softwareanbieter in die Pflicht nehmen. Und vor allem: die Geschäftsleitung einbinden, bevor das BSI anklopft.