MH - Fotolia
Wie sich die Cybersicherheit mit NIS2 grundlegend verändert
Die neue Cybersicherheitsrichtlinie NIS2 und die nationale Umsetzung verschärfen nicht nur die Anforderung an die Sicherheit, es kommen auch neue Aufgaben auf die Security hinzu.
Security-Abteilungen wissen nur zu gut: Die Cybersicherheit unterliegt einem stetigen, dynamischen Wandel, um die sich verändernden Cyberbedrohungen adressieren und auch die neuen, digitalen Technologien und Verfahren schützen zu können. Neben den Cyberrisiken und der technologischen Entwicklung gibt es aber noch einen dritten Faktor, der die Cybersecurity treibt: die rechtlichen Anforderungen.
Die neue Cybersicherheitsrichtlinie NIS2 ist ein aktuelles und gutes Beispiel dafür. Neben der Verschärfung bestehender Vorgaben aus früheren Gesetzgebungen kommen neue Aufgaben auf die Security-Abteilungen und die Leitungen der unter NIS2 regulierten Organisationen hinzu.
Leider unterschätzen viele Unternehmen die anstehenden Aufgaben und wähnen sich im Zeitplan der Umsetzung. Laut der Zscaler Studie „NIS 2 and Beyond: Risk, Reward & Regulation Readiness“ sind 80 Prozent der IT-Führungskräfte zuversichtlich, dass ihre Organisation Compliance-Anforderungen bis zum Stichtag erfüllen wird. Lediglich 14 Prozent geben an, dass sie diese bereits erfüllt haben. Allerdings ist lediglich etwas mehr als die Hälfte (53 Prozent) der IT-Führungskräfte der Ansicht, dass ihre Teams die Anforderungen vollständig verstehen. Noch weniger (49 Prozent) glauben, dass dies bei der Unternehmensleitung der Fall ist.
Scheinsicherheit bei der NIS2-Umsetzung
Aus gutem Grund kommt der Verband der Internetwirtschaft eco zu dem Schluss: Nur wenige Unternehmen in Deutschland sind (wirklich) auf NIS2 vorbereitet. Die NIS2-Richtlinie verlangt explizit die Einhaltung von zehn Risikomanagementmaßnahmen im Bereich der Cybersicherheit. Doch erst 13,2 Prozent der Unternehmen in Deutschland haben ihr Risikomanagement entsprechend verbessert, so eine Befragung von 250 IT-Entscheiderinnen und -Entscheidern durch das Marktforschungsinstitut Civey im Auftrag des eco Verbands.
Nur 14,6 Prozent haben bereits Mitarbeitende sensibilisiert. 14,5 Prozent sagen, sie halten Sicherheitsanforderungen ein. 12,1 Prozent haben ein Notfall- und Krisenmanagement implementiert. Die Industriestandards ISO 27001 bzw. BSI IT-Grundschutz haben erst 7,1 Prozent eingeführt. Ein Drittel der IT-Entscheider in Deutschland gibt an, noch keine der genannten Maßnahmen umgesetzt zu haben. Als nicht auskunftsfähig bezeichnen sich 40,6 Prozent der Befragten und antworten mit „weiß nicht“.
„Es ist beunruhigend, wie viele der IT-Verantwortlichen die kommenden gesetzlichen Anforderungen an ihre IT-Sicherheit offenbar noch nicht auf dem Schirm haben“, sagt Ulrich Plate, Leiter der eco Kompetenzgruppe KRITIS. „Dabei werden durch die NIS2 zehntausende Unternehmen allein in Deutschland erstmals unter die europaweite Regulierung der Cybersicherheit fallen.“ Angesichts doppelt so vieler betroffener Sektoren wie bisher, erheblich verschärften Bußgeldern und einer persönlichen Haftung der Leitungsorgane bei Verstößen, könne man erwarten, dass sich viel mehr Entscheidungsträger ihrer Verantwortung bewusst seien.
Nationale Umsetzung kann zu weiterer Verschärfung führen
Selbst bei guter Kenntnis der EU-Richtlinie NIS2 können sich die betroffenen Organisationen nicht einfach in Sicherheit wiegen, denn die nationale Umsetzung in Deutschland läuft noch und kann auch zu weiteren Verschärfungen und Anpassungen führen.
Bundesinnenministerin Nancy Faeser hatte im Mai 2024 einen Gesetzentwurf vorgelegt, mit dem das deutsche IT-Sicherheitsrecht umfassend modernisiert und neu strukturiert werden soll. Die Unternehmen, die in den Umfragen zuvor eine fristgerechte Umsetzung angenommen hatten, erklärten dies noch vor diesem Gesetzesentwurf.
So erklärte Bundesinnenministerin Nancy Faeser: „Mit unserem Gesetz werden künftig mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen müssen. Wir steigern das Sicherheitsniveau – und senken damit das Risiko für Unternehmen, Opfer von Cyberangriffen zu werden.“
Mit dem Gesetzentwurf sollen die Vorgaben der Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) im Wesentlichen in Form einer Novelle des BSI-Gesetzes umgesetzt werden.
Dazu gehört die Einführung der Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht.
Weiterhin wird der Katalog der Mindestsicherheitsanforderungen der NIS-2-Richtlinie in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien differenziert wird. Hierzu zählen unter anderem Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs (wie Backup-Management) und Konzepte zum Einsatz von Verschlüsselung.
Die bislang einstufige Meldepflicht bei Cybersicherheitsvorfällen an das BSI wird durch das dreistufige Meldesystem der NIS-2-Richtlinie ersetzt. Vorgesehen ist eine Erstmeldung binnen 24 Stunden, ein Update binnen 72 Stunden und ein Abschlussbericht, der binnen eines Monats zu übermitteln ist.
Ein besonderes Augenmerk sollten auch die Anforderungen an einen Lieferkettenschutz erhalten, denn die daraus resultierenden Aufgaben werden für die meisten Organisationen ebenfalls neu sein.
Es zeigt sich: Die Umsetzung von NIS2 sollte nicht in der Priorität abgestuft oder sogar von der Agenda genommen werden, vielmehr müssen nun umfangreiche Anstrengungen unternommen und die Cybersicherheit deutlich erweitert werden. Die Zeit läuft.