Bis Ende 2022, so die Bilanz, wurde das Cybersicherheitsgesetz („CSA“) in der Slowakei insgesamt sieben Mal geändert. Und wir können eine weitere, relativ umfangreiche Änderung vorhersehen. Eine Änderung, die durch die neue NIS-Richtlinie 2 ausgelöst wird, die in ihrer endgültigen Fassung noch in diesem Jahr das Licht der Welt erblicken dürfte.
Die NIS 2-Richtlinie wird nicht nur ihre Vorgängerin aus dem Jahr 2016 ersetzen, sondern auch den Kreis der Verpflichteten, den wir heute in der Slowakei unter dem Begriff Grundversorger kennen, erheblich erweitern. Die Verpflichteten werden nun in zwei grundlegende Gruppen unterteilt, nämlich in wichtige und bedeutende Unternehmen.
Bedeutsamer ist jedoch die Ausweitung der Regelungsbereiche, in denen die folgenden Sektoren (Sektoren) und Teilsektoren (Teilsektoren) im Vergleich zur aktuellen Gesetzgebung der ZoKB hinzugefügt werden:
- Abwässer;
- Universum;
- Kurierdienste;
- Abfallwirtschaft;
- Lebensmittelproduktion, -verarbeitung und -vertrieb;
- Wasserstoff;
- Fernheizung und -kühlung;
- Verarbeitendes Gewerbe (medizinische Geräte, Computerprodukte, elektrische Geräte, Maschinen, Kraftfahrzeuge, andere Transportmittel usw.)
In einigen bestehenden Branchen und Unterbranchen gibt es ebenfalls Veränderungen, wie z.B. die Aufnahme von Rechenzentrumsdienstleistern in den Sektor „Digitale Infrastruktur“.
Auch bei den Anbietern digitaler Dienste gibt es einen Wandel, denn die Anbieter von Cloud Computing werden fallen gelassen. Sie werden nun zu wichtigen Akteuren. Bei den digitalen Dienstleistern wird es jedoch weiterhin „drei“ Anbieter geben, denn zu den derzeitigen Anbietern von Online-Marktplätzen und Suchmaschinen kommen die Anbieter von Serviceplattformen für soziale Netzwerke hinzu.
Es wird erwartet, dass dank dieser Erweiterung mehrere hundert bis tausend neue Unternehmen in der Slowakei hinzukommen könnten. Der sich daraus ergebende Anwendungsbereich ist schwer vorherzusagen, da er durch die Festlegung von Identifizierungskriterien (Schwellenwerte) bestimmt wird, die die Slowakische Republik im Rahmen des bestehenden Dekrets Nr. 164/2018 Slg. festlegen wird und die bestimmen werden, welches Unternehmen in den Anwendungsbereich der ZoKB fällt und welches nicht. Schließlich spricht ein Vergleich der nationalen Cybersicherheitsvorschriften in der Tschechischen Republik und der Tschechischen Republik für sich selbst. Nach der Umsetzung der gleichen Verordnung (der NIS-Richtlinie von 2016) haben wir in der Slowakei etwa 3.000 Verpflichtete, während es in der Tschechischen Republik zehnmal weniger sind.
Da die Umsetzung der NIS-2-Richtlinie höchstwahrscheinlich auch (hauptsächlich) über die GKKB erfolgen wird, werden ausgewählte Unternehmen, die in den oben genannten Sektoren tätig sind, auch verpflichtet sein, die Anforderungen der GKKB zu erfüllen.
Die Ausweitung des Anwendungsbereichs der ZoKB auf neue Sektoren und Teilsektoren ist daher offensichtlich. Die NIS-2-Richtlinie führt jedoch auch neue Anforderungen im Vergleich zu ihrer Vorgängerin ein, die sich in den nationalen Rechtsvorschriften der Mitgliedstaaten widerspiegeln sollten.
In diesem Zusammenhang ist die entscheidende Frage, mit welchen spezifischen Anforderungen die NIS 2-Richtlinie in Kraft tritt und in welchem Umfang und auf welche Weise sie sich im nationalen Recht niederschlagen wird. Wie ihre Vorgängerin enthält auch die NIS 2-Richtlinie nur einen allgemeinen Mindestrahmen für die Sicherheit, wenn wir wollen, dass sich die „Muss“-Anforderungen in der nationalen Gesetzgebung widerspiegeln.
Dies sind die folgenden Anforderungen:
- Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme;
- Umgang mit Vorfällen (Vorbeugung, Erkennung und Reaktion);
- Geschäftskontinuität und Krisenmanagement;
- Sicherheit der Lieferkette, einschließlich der Sicherheitsaspekte, die sich auf die Beziehung zwischen jedem Unternehmen und seinen Lieferanten oder Dienstleistern beziehen, wie z.B. Lager- und Verarbeitungsdienstleister oder verwaltete Sicherheitsdienste;
- Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzwerken und Informationssystemen, einschließlich der Behebung von Schwachstellen und der Offenlegung von Schwachstellen;
- Richtlinien und Verfahren (Tests und Audits) zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersicherheitsrisiken;
- Verwendung von Kryptographie und Verschlüsselung.
Unter diesem Gesichtspunkt kann unser slowakisches ZoKB als zeitlos bewertet werden, da alle oben genannten Anforderungen bereits im heutigen ZoKB enthalten sind. Natürlich ist es nicht ausgeschlossen, dass es im Rahmen des Umsetzungsprozesses weitere Änderungen oder Erweiterungen der bestehenden Gesetzgebung geben wird, aber diese sind schwer vorhersehbar. Schließlich wurde auch die aktuelle Version von ZoKB nicht vollständig durch die Anforderungen der ursprünglichen NIS-Richtlinie durchgesetzt, bei der die Slowakische Republik mit der Formulierung von ZoKB über die europäischen Anforderungen hinausging. Daher ist die einzige Gewissheit heute, dass wir uns im Rahmen des Gesetzgebungsverfahrens, an dem wir uns aktiv beteiligen wollen, mit der beabsichtigten Änderung des NIS-Kodex vertraut machen können.
Die wichtigste Änderung, die die NIS-2-Richtlinie gegenüber dem derzeitigen Wortlaut der GKKB mit sich bringt, sind nicht neue Verpflichtungen, sondern die Anzahl der neuen Unternehmen, die verpflichtet sind, die bestehenden und künftig zusätzlichen Verpflichtungen im Rahmen der GKKB einzuhalten.
Wenn ich vorhersagen müsste, wo und wie sich die ZoKB verändern wird (sollte), dann wäre es folgendermaßen:
- Hinzufügung einer neuen Verpflichtung zur Meldung schwerwiegender Cyber-Bedrohungen neben Cybersicherheitsvorfällen;
- Hinzufügung von Fristen für den Umgang mit Cybersicherheitsvorfällen (erste Meldung innerhalb von 24 Stunden nach Entdeckung des Vorfalls und Vorlage eines Abschlussberichts über den Umgang mit dem Vorfall spätestens einen Monat nach der ersten Meldung);
- Es besteht die Möglichkeit, mit den zuständigen Behörden (z.B. der CSIRT-Einheit) eine Verlängerung der Fristen gemäß dem obigen Punkt zu vereinbaren;
- Eine Antwort auf den ersten Bericht über den Vorfall, einschließlich einer ersten Rückmeldung des Empfängers des Berichts über den Vorfall;
- Einholung von Ratschlägen zur Umsetzung möglicher Abhilfemaßnahmen für den gemeldeten Vorfall (auf Wunsch des Hinweisgebers);
- Erhöhung der Bußgelder auf bis zu 10.000.000 € oder maximal 2% des gesamten weltweiten Jahresumsatzes.
Im Zusammenhang mit den oben genannten möglichen Eingaben in die ZoKB ist Folgendes zu beachten.
Die erste ist die zugegebenermaßen subtile, aber sehr wichtige Ausweitung der Meldepflichten auf Cyberbedrohungen. Die derzeitige Fassung des CCC verlangt von den Betreibern nur, dass sie unter Androhung von Strafen „bis zu“ jenen schwerwiegenden Cybersicherheitsvorfällen Meldung erstatten, deren Merkmale (Klassifizierung) in einem speziellen Erlass[1] festgelegt sind. Eine juristische Auslegung könnte zu der unsinnigen, aber rechtlich schlüssigen Schlussfolgerung führen, dass der Betreiber „wartet und warten kann“, bis der Vorfall zumindest den ersten Schweregrad erreicht hat, bevor er ihn der zuständigen Behörde meldet. Auch wenn die Freiwilligkeit der Meldung nicht beeinträchtigt wird. Die Tatsache, dass die Verpflichteten nun auch schwerwiegende Cyber-Bedrohungen melden müssen (die Klassifizierung wird vermutlich später hinzugefügt), beseitigt diese vielleicht interpretatorisch tragfähige, aber aus praktischer, logischer und nicht zuletzt sicherheitstechnischer Sicht unglückliche ‚abwartende‘ Auslegung des Meldeprozesses für Vorfälle.
Der zweite Teil ist die Bearbeitung von Vorfällen, bei der der Staat (insbesondere die CSIRTs) ausdrücklich dazu verpflichtet ist, auf gemeldete Vorfälle zu reagieren, Feedback zu geben oder Anleitungen zu erstellen.
Aus Erfahrung wissen wir, dass es in der Vergangenheit Situationen gegeben hat, in denen Betreiber von wichtigen Diensten keine Rückmeldung, Unterstützung oder Hilfe zu ihren Meldungen erhalten haben. Manchmal haben sie nicht einmal eine Empfangsbestätigung für die Meldung erhalten. Dies ist weniger eine Kritik als vielmehr ein Hinweis auf die tatsächliche Kapazität des Staates, von dem nicht erwartet werden kann, dass er jeden gemeldeten Vorfall einzeln bearbeitet.
Die neuen Verpflichtungen seitens des Staates werden zweifellos zu einer schnelleren oder qualifizierteren Reaktion auf Vorfälle beitragen, die zusätzlich zu den verpflichteten Personen von den vom Staat benannten Fachkräften bewältigt werden sollen. Dies wird jedoch nicht ohne eine Erhöhung der Kapazitäten sowie eine ausreichende Vergütung, die zumindest dem Marktdurchschnitt entspricht, geschehen. Das Vertrauen auf die aufrichtige Motivation der Experten, dem Staat zu helfen und einen Mehrwert im öffentlichen Interesse zu schaffen, hat uns dahin gebracht, wo wir heute stehen.
Die Auswirkungen der NIS-2-Richtlinie könnten wie folgt beschrieben werden: Erweiterung des Kreises der Verpflichteten, Bestätigung der Richtung der aktuellen ZoKB in Bezug auf die Anforderungen und nicht zuletzt eine Änderung der slowakischen Auffassung über den Umfang der CSIRT-Einheiten bei der Behandlung von Cybersicherheitsvorfällen.
Was die letzte Option betrifft, so könnten die gewünschten Auswirkungen der NIS-2-Richtlinie Verfahren sein, die uns von der Analyse und Reflexion zur Lösung des langfristigen Problems führen, das wir in der Slowakei haben. Das ist der Aufbau und die Aufrechterhaltung von Expertenkapazitäten auf Seiten des Staates. Konkret geht es um CSIRT-Einheiten mit ausreichendem Personal sowie materieller und technischer Unterstützung. Schließlich zeigt der Bericht über die Cybersicherheit in der Slowakischen Republik im Jahr 2021 deutlich, dass die Gesamtzahl der aufgedeckten und gemeldeten Vorfälle 600 000 übersteigt, es gibt also mehr als genug Arbeit in diesem Bereich. Wir verfolgen die Entwicklungen in unserem Land aufmerksam und werden unsere Erfahrungen gerne weitergeben, sei es im Rahmen des Gesetzgebungsverfahrens oder auf andere Weise.
[1] Erlass der Nationalen Sicherheitsbehörde Nr. 165/2018 Slg., der die Identifizierungskriterien für die einzelnen Kategorien von schwerwiegenden Cybersicherheitsvorfällen und die Einzelheiten der Meldung von Cybersicherheitsvorfällen festlegt
