Dekret Nr. 227/2025 Slg. im Zusammenhang mit dem „alten“ Dekret Nr. 362/2018 Slg.
Die slowakische Cybersicherheit hat seit dem 1. Januar eine neue Version erhalten. 9. 2025 neue „Arbeitsumgebung“. Aus der Perspektive des Gesetzes, aber auch der bestehenden Praxis im Bereich der Cybersicherheit, ist dies sicherlich keine kosmetische Veränderung. Was sich ändert, ist in erster Linie die Philosophie und die damit verbundene Struktur sowie die „Mikroeinstellung“ vieler der Anforderungen mit einem gemeinsamen und einzigen richtigen Ausgangspunkt.
Das Dekret Nr. 227/2025 der Nationalen Sicherheitsbehörde über Sicherheitsmaßnahmen („227/2025“) ersetzt das vorherige Dekret Nr. 362/2018 der Nationalen Sicherheitsbehörde („362/2018“) und ändert zusammen mit der früheren Umsetzung der NIS2 in Form der Novelle des Cybersicherheitsgesetzes, die ab dem ersten Tag des Jahres 2025 in Kraft tritt, die Spielregeln nicht nur für die altbekannten Betreiber von Basisdienstleistungen. Schauen wir uns gemeinsam an, wie.
Von der „Checkliste“ zur Risikobasis
Das Dekret 362/2018 war zum Zeitpunkt seiner Verabschiedung ein wichtiger Schritt, es schuf einen beträchtlich detaillierten Katalog von Sicherheitsmaßnahmen in Bezug auf die Bereiche gemäß Artikel 20 Absatz 3 des Cybersicherheitsgesetzes, ergänzt durch eine Informationsklassifizierung, eine IS-Kategorisierung und Mindestanforderungen für einzelne IS-Kategorien I-III. Der Wortlaut des Dekrets 362/2018 hat die Verpflichteten oft zu Tendenzen und einem „Compliance“-Ansatz motiviert, einen beträchtlichen Umfang an Sicherheitsanforderungen nur formal durch Dokumentation abzuarbeiten, ohne wirklichen Bezug zu einer echten Risikoanalyse oder Business Continuity. Obwohl im gleichen Atemzug hinzugefügt werden sollte, dass gerade die Formalisierung und Dokumentation bei Audits oft als mangelhafte „Ware“ bei den Verpflichteten identifiziert wurden.
Ungeachtet dessen ist mit dem Erlass 362/2018 der formale Ansatz in der slowakischen Cybersicherheitsrealität teilweise überholt und wird durch eine andere Philosophie und einen anderen Ansatz auf der Grundlage des Erlasses 227/2025 ersetzt. Auch wenn es auf den ersten und vielleicht sogar auf den zweiten Blick nicht sofort so aussehen mag.
Nach der neuesten Fassung des Cybersicherheitsgesetzes werden die Sicherheitsmaßnahmen in Mindestmaßnahmen gemäß § 20 Absatz 4 des Gesetzes und allgemeine Sicherheitsmaßnahmen (Bereiche, für die Sicherheitsmaßnahmen ergriffen werden) gemäß § 20 Absatz 2 des Gesetzes unterteilt, wobei der Inhalt der Bereiche der Sicherheitsmaßnahmen gemäß § 20 Absatz 2 des Gesetzes durch die Verordnung 227/2025 innerhalb der umfangreichen 151-zeiligen Anlage Nr. festgelegt wird. 1. Noch nichts Neues, das Gesetz war vor der Änderung in Verbindung mit dem Dekret 362/2018 ähnlich strukturiert.
Der entscheidende Punkt ist jedoch, dass der Umfang der Sicherheitsmaßnahmen nach den neuen Vorschriften nur an die Ergebnisse der Risikoanalyse gebunden ist. Man könnte argumentieren, dass die Risikoanalyse ja auch im Rahmen des Dekrets 362/2018 vorgeschrieben war, aber die Wahrheit ist, dass die primäre Identifizierung von Sicherheitsmaßnahmen auf der Klassifizierung von Informationswerten und der Kategorisierung von Netzwerken und Informationssystemen basierte (die Mindestmaßnahmen wurden nach Kategorie I / II / III festgelegt), wobei die Risikoanalyse oft nur formal, dem Anschein nach, anhand eines Katalogs von Werten durchgeführt wurde, die nicht den bereits klassifizierten Werten entsprachen.
Das Ergebnis wurde daher als Risikoanalyse bezeichnet und sah auch so aus, war aber meist ein isoliertes Dokument, das nicht alle Vermögenswerte des Betreibers des Basisdienstes widerspiegelte, das mit Standardkatalogen von Bedrohungen, in Ausnahmefällen auch Schwachstellen, „arbeitete“, ohne das tatsächliche Risikoprofil der Organisation, ihre Vermögenswerte, kritischen Aktivitäten und nicht zuletzt (geschäftliche und andere) Bedürfnisse zu berücksichtigen. Es handelte sich im Wesentlichen um eine Formalität, die dem Prüfer vorgelegt wurde, weil die Checkliste danach „fragt“.
Was jedoch das Dekret 227/2025 betrifft, so ist die Verankerung eines systematischen Risikomanagementprozesses mit einer offensichtlichen Zuordnung zur NSA-Methodik (obwohl die Methodik nicht verbindlich ist) und mit einer klaren Unterscheidung zwischen akzeptierten, nicht akzeptierten und Restrisiken obligatorisch. Das Dekret 227/2025 verlangt ausdrücklich die nachweisliche Genehmigung der Ergebnisse der Risikoanalyse durch die in Artikel 20 Absatz 4 Buchstabe h) des Gesetzes genannte Person.
Aus praktischer Sicht ist dies ein Schritt nach vorn, weg von der „Entflechtung von Maßnahmen“ hin zur Diskussion darüber, was für einen bestimmten Grundversorger notwendig, wichtig und vertretbar ist.
Sicherheitsdokumentation: weniger Gerede, mehr Inhalt
Das Dekret 362/2018 definiert die Sicherheitsdokumentation recht breit und an einigen Stellen beschreibend – auch für die damit verbundene Organisationskultur, das operative Risikomanagement oder Sicherheitshandbücher.
Das Dekret 227/2025 nähert sich diesem Rahmen zwar inhaltlich nicht an (es ist sogar weniger detailliert als das Dekret 362/2018), aber es erweitert den Rahmen im Hinblick auf den Umfang. So wird beispielsweise das Vorhandensein von Sicherheitsrichtlinien für einzelne Sicherheitsbereiche (durch die Gesetzesänderung wurden die Bereiche erweitert), die Durchführung einer Risikoanalyse, die Bestimmung der Höhe der identifizierten Risiken, der akzeptierten Risiken und der Restrisiken für Vermögenswerte zusammen mit einer Liste von Vermögenswerten oder eine dokumentierte Bestimmung des Umfangs und der Art und Weise der Annahme, Einhaltung und Umsetzung von Sicherheitsmaßnahmen, einschließlich der Begründung für die Nichtannahme einer Sicherheitsmaßnahme, gefordert.
Darüber hinaus ist die Verschiebung auch darin zu sehen, dass die Dokumentation deutlicher mit dem Risikomanagement und der realen Architektur der Umgebung gemäß Dekret 227/2025 verbunden ist. Für Organisationen, die in der Praxis bereits z.B. ISO 27001 oder andere Rahmenwerke verwenden, ist es ausdrücklich erlaubt, bestehende Methoden zur Durchführung von Risikoanalysen auf die (zwar unverbindliche, aber gute) von der Nationalen Sicherheitsbehörde der Slowakischen Republik veröffentlichte Methodik abzubilden.
Dies setzt daher diejenigen unter Druck, die bisher auf „Papier“ gearbeitet haben. Die Sicherheitsdokumentation kann nicht einfach nur eine Vorlage sein, die für alle passt. Sie muss die Vermögenswerte des Unternehmens, seine Architektur und seine Risiken realistisch widerspiegeln.
OT „wirklich“ am Set
Eine der größten Veränderungen ist die explizite Verankerung von Betriebstechnologien (OT) im Text des Dekrets 227/2025, wo es direkt mit dem Konzept der Betriebstechnologien arbeitet, z.B. in § 1 und § 4, und in Anhang 1 Maßnahmen nach ihrer Relevanz für IKT und OT aufteilt und Sicherheitsanforderungen festlegt, die die Besonderheiten von OT widerspiegeln (z.B. Notstromversorgung, separate Backup-Systeme, physische und logische Segmentierung von OT vs. IT, OT-Schichten, unabhängige Firewalls für OT).
Dies ist eine bedeutende Veränderung in Bezug auf die Cybersicherheit. Der Rechtsrahmen spiegelt endlich ausdrücklich wider, dass für SPS, SCADA oder DCS nicht dieselben Grundsätze gelten wie für die „Büro“-IT und dass Verstöße gegen die OT-Regeln echte Auswirkungen haben können.
Mit dieser deutlichen Ausweitung des Geltungsbereichs des Gesetzes öffnen wir jedoch auch eine neue Büchse der Pandora. Aus der ohnehin schon kleinen Gruppe der IKT-Experten im Bereich der Cybersicherheit müssen diejenigen herausgefiltert werden, die über echte Kenntnisse und Spezialisierung für die Welt der OT verfügen.
Bei der Erfüllung der neuen Verpflichtungen ist es wichtig, die Cybersicherheit nicht nur technisch, sondern auch aus rechtlicher Sicht zu betrachten. Wenn eine Organisation ihre Verpflichtungen unter einem erweiterten Rechtsrahmen bewerten muss, ist Rechtssicherheit der Schlüssel. SIGNUM legal LLC
ist seit langem im Bereich des Regulierungs- und Technologierechts tätig und hat bei der Umsetzung von Cybersicherheitsanforderungen geholfen – von der Identifizierung von Risiken bis hin zur Einrichtung von Prozessen und vertraglichen Beziehungen in Übereinstimmung mit dem Gesetz.
Auf die rechtlichen Rahmenbedingungen muss jedoch die technische Umsetzung folgen. Um die Anforderungen des Gesetzes effektiv zu erfüllen, ist es ratsam, mit einem Partner zusammenzuarbeiten, der sich sowohl mit OT- als auch mit IT-Sicherheit auskennt. GAMO a.s. bietet die Umsetzung der gesetzlichen Anforderungen, IT/OT-Audits, Sicherheitsüberwachung und Cybersecurity Manager Services. Mit einer Kombination aus technischem Know-how und praktischer Erfahrung kann sie Organisationen Lösungen anbieten, die nachhaltig, funktional und gesetzeskonform sind.
Zusammenfassend
Wohin bewegen wir uns also mit dem Dekret 227/2025? Ob wir uns vorwärts oder rückwärts bewegen, wird in erster Linie davon abhängen, wie Controller, Auditoren und Cybersicherheitsmanager ihre Arbeit machen. Die von diesen Stellen entwickelte Praxis wird zeigen, ob wir auf formelhafte und formalistische Ansätze für die Cybersicherheit zurückgreifen werden oder auf eine realistische Umsetzung der Sicherheitsanforderungen, die mit der Durchführung von Risikoanalysen und der Zuordnung von Sicherheitsmaßnahmen beginnt, die die identifizierten Risiken realistisch abschwächen.
