NIS-2 setzt Unternehmen unter Druck: Abwarten? Funktioniert nicht!

Von Bernhard Kretschmer, Vice President Services und Cybersecurity bei NTT Ltd.

Bad Homburg, Deutschland – 20. September 2022  – Deutsche Unternehmen stehen massiv unter Druck: Der Gesetzgeber verschärft Stück für Stück die Sicherheits- und Compliance-Auflagen, etwa im KRITIS-Bereich mit § 8a Absatz 1a BSIG. Dieser verpflichtet die betroffenen Organisationen, adäquate Systeme zur Angriffserkennung bis spätestens Mai 2023 umzusetzen. Und ein Ende ist nicht in Sicht – denn mit NIS-2 steht eine Richtlinie vor der Tür, die für etliche Unternehmen Konsequenzen haben wird, derer sie sich vermutlich nicht einmal annähernd bewusst sind. Fakt ist, viele Firmen setzen nur symbolische Maßnahmen im Bereich der Cybersicherheit um und nur wenige überprüfen regelmäßig die Wirksamkeit dieser Lösungen. Angesichts der zunehmenden Abhängigkeit von funktionierenden IT-Umgebungen und der Tatsache, dass die Kriminellen immer raffinierter vorgehen, ist ein geringes Schutzniveau jedoch geradezu fahrlässig.

Eben diese Laissez-faire-Haltung in der Abwehr von Hackerangriffen, die verstärkt durch die Corona-Pandemie und den Ukraine-Krieg die Diskussion über die europäische Sicherheitsstrategie bestimmt, will die Kommission mit der Neufassung der NIS-Richtlinie eindämmen. Es sollen EU-weite Standards für Cybersecurity definiert werden, die nun auch die Industrie verpflichtend umsetzen muss. Dadurch soll die gesamte Infrastruktur resilienter werden. So werden Unternehmen nicht mehr vor die Wahl gestellt – nein, sie müssen einen Mindeststandard an Sicherheit erfüllen.

Und diese Pflicht trifft künftig viel mehr Firmen als bisher. Einerseits hat die EU die Richtlinie auf zahlreiche weitere Branchen mit Versorgungsfunktionen ausgeweitet. Die Vorgaben schließen künftig etwa Anbieter öffentlicher elektronischer Kommunikationsdienste und digitaler Dienste, die Abwasser- und Abfallwirtschaft, Hersteller kritischer Produkte, Post- und Kurierdienste und die öffentliche Verwaltung sowohl auf zentraler als auch regionaler Ebene ein, wobei die Kommission zwischen Marktteilnehmern mit einer entscheidenden und mit einer essenziellen Bedeutung für Wirtschaft und Gesellschaft unterscheidet. Ferner können die Mitgliedstaaten beschließen, dass sie auch für einschlägige Stellen auf kommunaler Ebene gelten. Andererseits werden nun auch Betriebe mit über 250 Mitarbeitern und über zehn Millionen Jahresumsatz als schützenswert eingestuft und müssen künftig Cybersicherheitsstandards wie Audits, Risikoabschätzungen, das zeitnahe Einspielen von Sicherheitsupdates und Zertifizierungen beachten.

Die Umsetzung von NIS-2 stellt die Industrie jedenfalls vor zahlreiche Herausforderungen. Ein Beispiel sind die Meldefristen: Innerhalb von 24 Stunden nach Kenntnisnahme des Sicherheitsvorfalls muss eine erste Meldung als Frühwarnung bei den zuständigen Behörden eingehen. In dieser wird angegeben, ob der Sicherheitsvorfall vermutlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist. Innerhalb von 72 Stunden muss dann ein weiterer Bericht ausgehändigt werden, der die sogenannten Indicators of Compromise beschreibt und der ohne dediziertes Security-Know-how zu einer fast unlösbaren Aufgabe wird. Spätestens einen Monat nach dem Vorfall ist schließlich noch ein Abschlussbericht fällig, der mindestens eine ausführliche Beschreibung des Sicherheitsvorfalls, seines Schweregrads und seiner Auswirkungen sowie Angaben zur Art der Bedrohung und den getroffenen Abhilfemaßnahmen beinhalten muss. Wer schon einmal ein Unternehmen direkt nach einer Hackerattacke erlebt hat, weiß, wie groß einerseits das Chaos ist und wie knapp andererseits Ressourcen und Zeit sind. Vor allem im Mittelstand ist davon auszugehen, dass die Expertise für die Umsetzung der Richtlinie im Haus nicht vorhanden ist.

Viel Zeit zum Umsetzen bleibt übrigens nicht. Die Verhandlungen sind seit Mai 2022 abgeschlossen, jetzt muss das EU-Parlament den Gesetzesentwurf mit einem Mehrheitsvotum absegnen, was als reine Formalität gilt und bis Ende des Jahres über die Bühne gehen soll. Sobald das passiert ist, haben die EU-Mitgliedsstaaten 21 Monate Zeit, die Richtlinie umzusetzen. Wenn man bedenkt, dass manche Hardwarekomponenten derzeit eine Lieferfrist von bis zu eineinhalb Jahren haben, ist der Zeitrahmen, um ein adäquates Sicherheitspaket zu schnüren, mehr als knapp bemessen.

Trotzdem: Eine schlechte oder gar nicht vorhandene Security-Lösung kostet am Ende deutlich mehr als eine gute. Den Mehrwert sehen viele leider erst, wenn sie tatsächlich angegriffen wurden und Produktionsausfälle zu finanziellen Schäden führen. Jedes Unternehmen tut also gut daran, seine Schutzmaßnahmen zu überdenken. Die NIS-2-Richtlinie verschärft sowieso die Ausgangslage – die Behörden können bei Nichteinhaltung der Empfehlungen zum Risikomanagement analog zur DSGVO erhebliche Geldstrafen verhängen. Nach derzeitigem Kenntnisstand müssen Betreiber entscheidender Dienste mit Geldbußen in Höhe von 2 Prozent des Jahresumsatzes rechnen, Anbieter essentieller Services mit 1,4 Prozent. Hinzu kommt: Die Unternehmensführung wird für etwaige Verstöße in Verantwortung genommen und ist damit haftbar.

NTT Germany AG & Co. KG
Hakan Cakar
Vice President Marketing and Communications Germany
Tel.: +49 89 2312 178 32
hakan.cakar@global.ntt

PR-COM GmbH
Kathleen Hahn
Account Director
Tel.: +49 89 59997 763
kathleen.hahn@pr-com.de