Die neue Herausforderung in der Cybersicherheit: NIS2: Kritische Überlegungen für technische Leiter
Die Verzögerungen bei der Umsetzung der NIS2-Richtlinie könnten sich als unerwartete Gelegenheit für Unternehmen erweisen. Denn IT-Teams erhalten durch die Verschiebung wertvolle Zeit, um ihre Compliance-Strategien zu optimieren.
Von Peter Herr, Regional Director, DACH bei Diligent
Die jüngsten Verzögerungen bei der Umsetzung der NIS2 – nur Belgien und Kroatien haben die Richtlinie bis zur ursprünglichen Frist am 17. Oktober 2024 in nationales Recht umgesetzt – kann sich als Glück im Unglück herausstellen, bietet sie doch den IT-Teams die Gelegenheit, ihre Compliance-Strategien zu verfeinern. Mit schätzungsweise 160.000 direkt betroffenen Unternehmen in der EU, ohne deren Lieferketten, sollte das Ausmaß dieser Gesamtherausforderung nicht unterschätzt werden. Die zeitliche Verschiebung bietet jedoch die Chance, die Widerstandsfähigkeit zu erhöhen, die Compliance-Strategien zu straffen und dadurch einen Wettbewerbsvorteil zu erlangen.
Was ist NIS2?
NIS2 ist ein Rechtsrahmen, der die Cybersicherheit in kritischen Sektoren in der EU verbessern soll. Sie erweitert den Anwendungsbereich ihres Vorgängers erheblich von 7 auf 18 Sektoren und führt strengere Anforderungen für als „wesentlich“ oder „wichtig“ eingestufte Organisationen ein. „Wichtige Organisationen“ (mit mindestens 50 Mitarbeitern und einem Jahresumsatz oder einer Bilanzsumme von 10 Millionen Euro) können mit einer reaktiven Überwachung und regelmäßigen Audits rechnen. „Wesentliche Unternehmen“ (größere Unternehmen mit mehr als 250 Mitarbeitern und einem Jahresumsatz von 50 Millionen Euro oder einer Bilanzsumme von 43 Millionen Euro) werden von den Regulierungsbehörden proaktiv überwacht.
Ein zentrales Merkmal der Verordnung ist der Zeitplan für die Meldung von Ereignissen. Dieser ist in der Tat sehr anspruchsvoll: Es muss eine Frühwarnung innerhalb von 24 Stunden erfolgen, gefolgt von einem umfassenden Bericht über das Ereignis innerhalb von 72 Stunden und einem abschließenden Bericht innerhalb von 30 Tagen nach der Meldung des Ereignisses. Diese sequenzielle Berichtsstruktur erfordert hochentwickelte Automatisierungs- und Analysefunktionen, da sie manuell nicht eingehalten werden kann. Technische Teams müssen Systeme implementieren, mit denen sie schnell beurteilen können, ob ein Vorfall die Schwelle der „Signifikanz“ erreicht, und mögliche grenzüberschreitende Auswirkungen ermitteln können. Vor allem aber müssen sie in der Lage sein, innerhalb von 24 Stunden zu beurteilen, ob eine Handlung rechtswidrig ist.
Während die Mitgliedstaaten – wenn auch mit Verspätung – noch an der Umsetzung der NIS2 in nationales Recht arbeiten, sollten sich die Organisationen darauf konzentrieren, die technischen Grundlagen für die Einhaltung der Vorschriften zu schaffen. Bis April 2025 müssen die Mitgliedstaaten umfassende Listen der in ihrem Hoheitsgebiet registrierten wesentlichen und wichtigen Einrichtungen sowie der Organisationen, die Registrierungsdienste für Domänennamen anbieten, erstellen. Dies schafft einen klaren Zeitplan für die Umsetzung der notwendigen technischen Maßnahmen, die in Artikel 21 der endgültigen Fassung der Richtlinie beschrieben sind.
Die Bedeutung von NIS2
Laut dem Global Cybersecurity Outlook 2024 Insight Report des Weltwirtschaftsforums (WEF) wuchs die Cybersicherheitsbranche 2023 viermal schneller als die Weltwirtschaft. Die digitale Ungleichheit nimmt jedoch zu, und die Kluft zwischen Organisationen, die gegen Cyberangriffe gewappnet sind, und solchen, die es nicht sind, wird immer größer.
Während die Einhaltung von Vorschriften immer komplexer und schneller wird, schrumpft die Zahl der kleinen und mittleren Unternehmen, die sich mit Cybersicherheit befassen. Einem aktuellen Bericht der Data Global Group zufolge mangelt es derzeit am Bewusstsein für die allgemeine Cyber-Bedrohungslandschaft und das eigene Risikoprofil: Nur 62 Prozent der Kleinstunternehmen installieren regelmäßig Sicherheitsupdates, und nur 18 Prozent verfügen über einen Notfallplan für den Ernstfall. Zudem sehen mehr als die Hälfte der kleinen und mittleren Unternehmen (KMU) die laufenden Kosten und den Aufwand für technische Anpassungen und Updates als größtes Hindernis für die IT-Sicherheit. Nur große und stark regulierte multinationale Unternehmen meistern diese Herausforderungen, da sie spezialisierte Teams mit dieser Aufgabe betrauen können.
Was Unternehmen bevorsteht
Die neue Verordnung sieht eine mehrstufige Sanktionsstruktur für Verstöße vor, die im Rahmen der Risikobewertung im Vorfeld sorgfältig geprüft werden muss. Wesentliche Organisationen müssen mit Strafen rechnen, die bis zu 10 Mio. Euro oder 2 Prozent ihres weltweiten Jahresumsatzes betragen können, während wichtige Unternehmen mit Bußgeldern von bis zu 7 Mio. Euro oder 1,4 Prozent ihres Umsatzes rechnen müssen.
Die Konsequenzen gehen jedoch über Geldstrafen hinaus. Die IT-Teams müssen sich auch auf mögliche nicht-monetäre Sanktionen vorbereiten, die in der NIS2-Richtlinie verankert sind und erhebliche Auswirkungen auf das Unternehmen haben können. Dazu gehört die verpflichtende Umsetzung der Empfehlungen des Sicherheitsaudits, was eine vollständige Anpassung der bestehenden Sicherheitsmaßnahmen erfordert. Ebenso können behördliche Anordnungen zur Nachrüstung und Anpassung der Sicherheitsmaßnahmen an die strengen NIS2-Anforderungen folgen.
Das Management trägt nun die direkte Verantwortung für die Cybersicherheit, wobei bei wiederholten Verstößen Sanktionen bis zum Entzug der Managementfunktion drohen. Dadurch wird Cybersicherheit zu einer Top-Priorität, die sich auf Governance und die Stärkung der Widerstandsfähigkeit von Unternehmen konzentriert. Die eigentliche Herausforderung besteht darin, die Einhaltung von Vorschriften zu nutzen, um die allgemeinen Cybersicherheitspraktiken zu stärken, die Sicherheit der Lieferkette zu verbessern und das Vertrauen der Stakeholder zu gewinnen – ein wichtiger Schwerpunktbereich, in dem fortschrittliche Governance-, Risiko- und Compliance-Plattformen (GRC) Unterstützung bieten können, um Bereitschaft und Flexibilität zu gewährleisten.
Maßnahmen treffen, um die Vorschriften zu erfüllen
Ein strategischer Fokus auf Governance, Risikomanagement und Compliance ist eine Voraussetzung für die Vorbereitung auf die Umsetzung der Verordnung. Vorstände und Führungskräfte müssen der Cybersicherheit als geschäftskritischem Thema Priorität einräumen und sie in den allgemeinen Governance-Rahmen einbinden. Dazu muss sichergestellt werden, dass die Geschäftsleitung mit dem Wissen und den Instrumenten ausgestattet ist, um die Cybersicherheitsmaßnahmen wirksam zu überwachen.
Auf operativer Ebene sollten Unternehmen risikobasierte Maßnahmen ergreifen, die auf ihre spezifischen Bedrohungsprofile zugeschnitten sind. Dazu gehören die Absicherung interner und externer Systeme durch Schwachstellenüberwachung, die Durchsetzung einer mehrstufigen Authentifizierung und die Implementierung von Verschlüsselung. Auch die Reaktion auf Vorfälle muss robust sein, wobei automatisierte Systeme eine schnelle Erkennung, Meldung und Behebung von Verstößen ermöglichen.
Um die Sicherheit der Lieferkette im Rahmen von NIS2 zu gewährleisten, müssen die technischen Leiter vorrangig direkt mit den Cybersicherheitsmaßnahmen ihrer Lieferanten zusammenarbeiten. Dazu gehört nicht nur die Bewertung, inwieweit die Lieferanten auf einen Cyberangriff vorbereitet sind, sondern auch die Aufnahme von Sicherheitsanforderungen in die Lieferverträge, um die Einhaltung der Mindeststandards der Richtlinie zu gewährleisten. Die NIS2 verpflichtet sowohl wesentliche als auch wichtige Unternehmen, die Risiken für Netzwerk- und Informationssysteme in ihren Lieferketten zu managen. Diese Regulierungsmaßnahmen sorgen für eine größere Transparenz der Lieferantensysteme und eine kontinuierliche Überwachung, da von den Unternehmen nun erwartet wird, dass sie Schwachstellen, die versteckt in ihrer Lieferkette liegen können, proaktiv erkennen und beheben.
Durch die Umsetzung dieser Maßnahmen können Unternehmen nicht nur die Einhaltung der Vorschriften gewährleisten, sondern auch ihre Widerstandsfähigkeit gegen immer raffiniertere Angriffe auf die Lieferkette verbessern. Langfristig werden die Lieferketten dadurch wesentlich sicherer, weil sie von mehreren Stellen kontrolliert werden.
Nach vorn schauen und die Chance ergreifen
Der Aufschub bei der Umsetzung der Verordnung ist nicht nur eine Gnadenfrist, sondern auch eine Chance für Unternehmen, der Zeit voraus zu sein. Durch die Stärkung der Governance, die Anpassung der Risikomanagementpraktiken und die Einführung zukunftsorientierter Compliance-Maßnahmen können Unternehmen die regulatorischen Anforderungen in einen strategischen Vorteil umwandeln. In einer Zeit, in der Cybersicherheit sowohl eine regulatorische als auch eine operative Priorität ist, wird die Fähigkeit zur Anpassung und Führung über die langfristige Widerstandsfähigkeit und den Erfolg entscheiden. Unternehmen, die sich an die Cyber-Sicherheitsvorschriften halten, werden nicht nur die regulatorischen Anforderungen erfüllen, sondern auch einen echten Schutz vor aufkommenden Cyber-Bedrohungen bieten.