Thought Leadership
Mit der überarbeiteten Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS2) kommen insbesondere auf kleine Unternehmen große Herausforderungen zu. Umso wichtiger wird es, der Regulatorik einen Schritt voraus zu sein und frühzeitig zu handeln.
Colonel Pipeline, JBS, Nord Stream 1: Obwohl erfolgreiche Cyberattacken auf kritische Infrastrukturen (KRITIS) international immer wieder Schlagzeilen machen, werden die Gefahren von Angriffen auf sogenannte Hochwertziele immer noch vielerorts unterschätzt. Mit dem russischen Angriffskrieg auf die Ukraine hat sich die Gefährdungslage in den letzten Monaten zudem erheblich verschärft. Das macht sich bemerkbar: Einer Studie des Digitalverbands Bitkom zufolge konnten 36 Prozent der befragten Unternehmen die Akteure von Cyberattacken auf Russland zurückführen – 13 Prozentpunkte mehr als noch im vergangenen Jahr. Und obwohl sich laut der von PwC jährlich herausgegebenen Digital-Trust-Insights-Studie die meisten Unternehmen einig sind, dass Cyberkriminelle die größte Bedrohung für ihr Geschäft darstellen, sind sie eigenen Angaben zufolge am wenigsten auf diese Gefahr vorbereitet.
Weil der eigenverantwortliche Selbstschutz unter dem wirtschaftlichen Handlungsdruck vieler Akteure oftmals zu kurz kommt, muss die Politik immer häufiger eingreifen. So auch mit der überarbeiteten Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS2), auf die sich der Ministerrat, das Parlament und die EU-Kommission im vergangenen Mai verständigt haben. Mit der Direktive möchten die Verantwortlichen den wachsenden Anforderungen an die IT-Sicherheit unter anderem Rechnung tragen, indem sie den Adressatenkreis des bisherigen Gesetzes deutlich ausweiten. Es kommen insgesamt acht neue Sektoren hinzu. Die Sektoren in der NIS2 werden zwischen “Essential Services” (wesentliche Dienste) und “Important Services” (wichtige Dienste) unterschieden. Die wesentlichen Dienste werden durch die Sektoren Abwasser, Raumfahrt und die öffentliche Verwaltung ergänzt und die wichtigen Dienste durch die Sektoren Post und Kurier, Abfallwirtschaft, Chemikalien, Ernährung, Industrie sowie Bildung und Forschung. Des Weiteren sollen neben den KRITIS-Unternehmen und Institutionen künftig auch Unternehmen und Organisationen mit 50 oder mehr Mitarbeitenden sowie einem Jahresumsatz von mindestens zehn Millionen Euro erfasst werden.
Umfangreiche Pflichten und strenge Meldefristen
Mit der Umsetzung der NIS2-Direktive in nationales Recht kommen auf die betroffenen Unternehmen und Einrichtungen viele neue Pflichten zu. So gilt es etwa nicht nur, wirksame Richtlinien und Standards für die Informationssicherheit aufzusetzen, sondern auch effektive Maßnahmen zu entwickeln, um das geforderte Schutzniveau belastbar nachzuweisen. Zugleich fordert der Gesetzgeber ein umfassendes Incident Management, das auf die Prävention sowie Erkennung und Abwehr von Cyberattacken abzielt. In Hinblick auf die Geschäftskontinuität gehen die Pflichten bisweilen über die Kernbereiche der IT-Sicherheit hinaus und fordern etwa auch wirksame Maßnahmen für das Business Continuity Management (BCM) sowie für den Schutz der Lieferketten. Auch Verschlüsselungstechnologien werden obligatorisch.
Neben den technologischen und prozessualen Standards werden mit dem Inkrafttreten der Direktive auch erstmals viele kleine Unternehmen von den strengen Vorgaben für das Meldewesen betroffen sein. Diese müssen Sicherheitsvorfälle und Störungen fortan unmittelbar den zuständigen Behörden mitteilen.
Mangelnde Fachkräfte erschweren Umsetzung
Während weite Teile der Mindestanforderungen für ein angemessenes Sicherheitsniveau ohnehin erforderlich sind und dementsprechend schon von vielen Unternehmen umgesetzt werden, könnten vor allem kleinere Betriebe auf eklatante Hürden bei der Erfüllung der neuen Pflichten stoßen. Das ist auch insofern heikel, als dass die Geschäftsführung bei Verstößen persönlich haften soll. Doch um den Pflichten vollumfänglich nachzukommen, braucht es viel Fachexpertise – und die ist derzeit bekanntlich rar. So haben selbst große Unternehmen in attraktiven Metropolregionen zunehmend Schwierigkeiten, kompetente Kräfte für ihre Sicherheitsteams zu gewinnen. Wie kleine Mittelständler aus den ländlichen Gegenden in Anbetracht dieses Wettbewerbs an das begehrte Personal kommen sollen, bleibt fragwürdig.
Damit einhergehend stellt sich die Frage, wie die zuständigen Behörden mit dem erhöhten Meldeaufkommen umgehen werden, wenn mit einem Schlag viele tausende Betriebe zusätzlich ihre Vorfälle berichten müssen. Die Fristen dafür sind mit 24 Stunden für eine Frühwarnung an das zuständige Incident-Response-Team sowie 72 Stunden für eine detaillierte Beschreibung des Vorfalls inklusive sämtlicher Implikationen erwartungsgemäß knapp und in der Realität vermutlich nur bedingt umsetzbar.
Initiative ergreifen und Problemfelder frühzeitig adressieren
Unternehmen, die in Hinblick auf NIS-2 einen akuten Handlungsbedarf bei sich identifizieren, sollten die Herausforderung trotz aller Hürden als Chance betrachten. Die allgemeine Bedrohungslage bleibt hoch – so hoch, dass sich weniger die Frage nach dem „ob“, sondern vielmehr nach dem „wann“ stellt. Denn der nächste Cyberangriff ist in der Regel nur eine Frage der Zeit. Gerade kleinere Betriebe, die sich selbst nicht als attraktive Ziele einstufen würden, geraten immer häufiger ins Visier der Kriminellen, beispielsweise weil sie Teil einer Lieferkette mit interessanten Zielen sind. Je früher sich Unternehmen darauf einstellen, desto einfacher werden sie auch die Anforderungen der NIS-2 meistern.
Um dabei in eine möglichst günstige Ausgangslage zu kommen, sollten Unternehmen sich aber nicht von der Gesetzgebung treiben lassen, sondern proaktiv vorangehen. Gerade in Hinblick auf den angespannten Fachkräftemarkt empfiehlt es sich, jetzt zu handeln und die Suche nach dem richtigen Personal frühzeitig anzustoßen. Zugleich gilt es klare Verantwortlichkeiten zu definieren, um belastbare Strukturen für die Umsetzung zu schaffen.
