Die NIS-2-Richtlinie über die Sicherheit von Netz- & Informationssystemen legt für viele Unternehmen höhere Standards für Cybersicherheit fest. Bis zu 40.000 Unternehmen und Einrichtungen können allein in Deutschland betroffen sein.
Die Umsetzung der EU-Richtlinie über die Sicherheit von Netz- & Informationssystemen stellt eine deutliche Erweiterung des Adressatenkreises im Bereich der Netzwerk- und Informationssicherheit dar, es sind nun 18 Sektoren abgedeckt. Allein in Deutschland, so schätzen IT-Sicherheitsexperten, werden bis zu 40.000 Unternehmen und Einrichtungen betroffen sein. Und viele wissen wahrscheinlich noch gar nicht, dass sie von NIS-2 betroffen sind!
Welche Organisationen betroffen sind
Im Adressatenkreis erfasst werden als sogenannte “wesentliche Einrichtungen” Unternehmen in den Bereichen Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Digitale Infrastruktur und Informations- und Kommunikations-Servicemanagement. Als wichtige Einrichtungen werden unter anderem explizit die Chemiebranche (Herstellung und Handel), die Lebensmittelbranche (Produktion, Verarbeitung und Vertrieb), die Anbieter digitaler Dienste sowie Forschungseinrichtungen genannt. Erfasst werden grundsätzlich nur mittlere und große Einrichtungen in den betroffenen Sektoren. Hinsichtlich der Unternehmensgröße schreibt die Richtlinie einen EU-weit einheitlichen Schwellenwert (ab 50 Mitarbeiter und 10 Mio. EUR Umsatz p.a.) vor. Jedoch sieht die Richtlinie auch einen Katalog an Unternehmen vor, die je nach Kritikalität unabhängig von ihrer Größe erfasst werden.
Für bisher schon streng regulierte Bereiche ändert sich wenig, aber man beachte die große Zahl derer, die sich neu darauf einstellen müssen. Es sind höhere Kosten zu erwarten (Schätzungen gehen von bis zu 20% Mehraufwand im Bereich Cybersicherheit aus) und die Maßnahmen können mit einem erheblichen Verwaltungsaufwand verbunden sein, insbesondere kleinen und mittelständischen Unternehmen (KMU) wird das Sorgen bereiten. Der darüber hinaus bestehende Mangel an Fachkräften in der Informationssicherheit erschwert die technische und organisatorische Umsetzung in Betrieben.
Für alle Unternehmen ist es zum eigenen Schutz wichtig, Maßnahmen zu ergreifen, jedoch für die von NIS-2 betroffenen Organisationen wird es ratsam sein, sich intensiver mit dem Thema Informationssicherheit und insbesondere der Cybersicherheit (also Sicherheit in digitalen Systemen) auseinanderzusetzen, um Risiken aus dem Gesetz (Strafen, persönliche Risiken) zu vermeiden.
Neben dem Aufbau eines Risikomanagements ist auch der Aufbau von technischen und organisatorischen Fachkompetenzen im Bereich der Cybersicherheit nötig, z.B. hinsichtlich der Kommunikation im Falle eines akuten Cyberangriffs. Im Falle eines relevanten Vorfalls sind zeitnah Meldepflichten bei der zuständigen Behörde zu erbringen.
Bezug auf die Normenreihe ISO/IEC 27000
Für die betroffenen Firmen und Einrichtungen empfiehlt es sich frühzeitig, vorzusorgen und ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen, soweit nicht bereits ein Solches betrieben wird, zum Beispiel nach den Anforderungen der Norm ISO/IEC 27001. Ein ISMS umfasst die Steuerung und Überwachung der IT-Sicherheitsmaßnahmen im entsprechenden Unternehmen. Das Gesetz macht keine detaillierten Vorgaben, inhaltlich sind die Zusammenhänge jedoch klar. Und der Bezug auf die Norm ist ein Vorteil, denn damit ist der Handlungsrahmen für die Unternehmen gesetzt, zitiert sie doch als Bezugsrahmen für die Umsetzung die Normenreihe ISO/IEC 27000, zu der auch die ISO/IEC 27001 gehört. Auf Basis der Norm ISO/IEC 27005 kann auch ein Risikomanagement für die Informationssicherheit eingeführt werden. Als Nebeneffekt ist positiv, dass eine anerkannte ISMS-Zertifizierung außerdem als belastbarer Nachweis gegenüber Versicherern und Behörden verwendet werden kann.
Harte Bandagen
Insbesondere für die Durchsetzung wurde auf zahlreiche Instrumente gesetzt. Unter anderem gibt es neben Geldbußen die Option der Anforderung von Informationen, verpflichtet es die Einrichtung zu Sicherheitsscans, bietet die Möglichkeit von unangemeldeten Ad-hoc-Prüfungen und häufigeren Inspektionen. So kann in begründeten Fällen auch die Leitung der Einrichtung abgesetzt werden oder die Veröffentlichung des Vorfalls kann erzwungen werden.
Schon jetzt sind Unternehmen verpflichtet, sich gegen Risiken durch Hackerangriffe zu schützen. Das Aktien- und GmbH-Recht ist klar, denn Vorstand / Geschäftsführung müssen seit jeher mit den üblichen Sorgfaltspflichten arbeiten, auch bei Datenschutz und IT-Sicherheit. Somit sind persönliche Risiken durch mangelnde Sorgfalt dort bereits eingeschlossen. Die Definition und der Nachweis sind aber nicht immer einfach, was den Druck etwas herausnimmt.
Deutlich härter werden kann NIS-2 für das Management, da natürliche Personen für Verstöße gegen ihre Pflichten zur Gewährleistung der Einhaltung dieser Richtlinie haftbar gemacht werden können. Angesichts der Anzahl und des Wachstums der Cyber-Vorfälle ist ein Vorfall nur eine Frage der Zeit, dann zeigen sich die Ergebnisse der Richtlinie bzw. die “Dysfunktion” der Sicherheitsorganisation. Das nimmt die Leitung deutlich stärker in die Pflicht!
Umsetzung wird dauern
Beschwichtigend kann eingewendet werden, dass die Umsetzung der EU-Richtlinie in nationales Gesetz (bis Oktober 2024) aller Erfahrung nach noch dauern wird und sich auch der “Apparat” anpassen muss, die Hauptlast trägt hier sicherlich das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Cyber-Sicherheitsbehörde des Bundes.
Vor allem bleibt abzuwarten, wie die Behörden angesichts eines engen Cybersicherheits-Arbeitsmarktes rein operativ ihre Arbeitsfähigkeit an die deutlich größere Zahl der betroffenen Unternehmen anpassen können, denn unter die Vorgängerregulierung des neuen Gesetzes fielen weit weniger Einrichtungen. Wie wird sich das BSI im gegebenen Zeitahmen bis Oktober 2024 so aufstellen können, um in der Zukunft mit seinen rund 1.400 Mitarbeitern nun bis zu 40.000 Einrichtungen zu begleiten und ggf. kontrollieren können?
Und die o.g. harten Durchsetzungsmaßnahmen werden angesichts der zu erwartenden Umsetzungsschmerzen nicht täglich jeden treffen, ein Restrisiko bleibt dennoch. Vermeintlich hat jede Einrichtung zwar noch einige Monate Zeit bis Oktober 2024. Aber die sind schnell vorbei und es ist nur eine Frage der Zeit, bis die Umsetzung stattfindet und die ersten Vorfälle zu öffentlichkeitswirksamen Strafen führen werden.
Man darf aber auch nicht unterschätzen, dass die Einführung eines ISMS bei den meisten Unternehmen zwischen 6 und 12 Monate dauert. Dies kann zwar mit ISMS-Softwarelösungen deutlich beschleunigt werden, aber mit Vorbereitungen, Schulungen, Investitionen in die Infrastruktur etc. wird in vielen Fällen nicht mehr so viel Zeit dafür zur Verfügung bleiben, wie nötig. Die Allokation von Ressourcen und Budget muss also zeitnah erfolgen. Das Notfallmanagement und die nötigen Berichtsstrukturen aufzubauen, kostet auch Zeit und Geld.
Und die Kapazitäten im Markt der Berater für Informationssicherheit und der akkreditierten Prüforganisationen können nicht ad hoc und unbegrenzt vervielfältigt werden.
Konkreter Handlungsbedarf
Was wird nun konkret benötigt für die Umsetzung der Richtlinie? Zu empfehlen ist der Aufbau eines ISMS und eines Notfallmanagements, neben der Organisation sind technische Maßnahmen zu ergreifen und der Aufbau einer Berichtsorganisation muss erfolgen. Besonders wichtig ist das Etablieren einer Sicherheitskultur, um im gelebten Tagesgeschäft eine möglichst reibungslose und kostengünstige Anwendung der o.g. Systeme zu sichern und die Nachweisbarkeit herzustellen. Damit sinken die Risiken, bei unangekündigten Prüfungen ist die Organisation vorbereitet und im Notfall ist man gut gerüstet, um Attacken abzuwehren bzw. zumindest deren Folgen zu reduzieren.
Fazit
Ein “mehr” an Informationssicherheit ist dringend erforderlich, die Täter kennen keine Grenzen, die Verschärfung in dieser Breite ist höchst sinnvoll, um das Niveau der Informationssicherheit in der ganzen EU zu verbessern.
Aber angesichts der Anzahl der betroffenen Einrichtungen und dem relativ kurzen Zeitraum in einem engen Arbeitsmarkt wird die Umsetzung auf allen Ebenen sportlich. Nicht zu vergessen: Es gibt Unternehmen, die teils noch Altlasten aus der Corona-Zeit tragen oder Inflation und Energiepreissteigerungen bewältigen müssen. Kostensteigerungen auf Basis der gesetzlichen Pflichten – so sinnvoll dieses Gesetz auch ist – können diese hart treffen.
Wer aber früh anfängt (oder schon angefangen hat), kann seinen personellen Aufwand und die Investition besser verteilen, ist früher besser geschützt und kann den gesetzlichen Auflagen entspannt entgegensehen.
Beratungsunternehmen im Bereich Informationssicherheit und Cybersecurity.
Kontakt
Opexa Advisory GmbH
Klaus Kilvinger
Franz-Joseph-Straße 11
80801 München
+4915792487716
http://www.opexaadvisory.de