Die Unternehmen erwarten strengere Regeln für die Cybersicherheit. Die Richtlinie des Europäischen Parlaments zur Netz- und Informationssicherheit – NIS 2 – wird bald in der Slowakei in Kraft treten.*in Kraft treten, die eine strengere Kontrolle und Wachsamkeit vorschreibt.
Relevanz und Bedeutung der NIS-2-Richtlinie
Die neue Richtlinie ist derzeit das Thema vieler Fachkonferenzen, Webinare, Anzeigen im Internet und in sozialen Netzwerken. Die Unternehmen müssen sie ab Januar 2025 einhalten. Das bedeutet, dass sie ihre Sicherheitsmaßnahmen, Dokumentation, Prozesse und Technologien an den Wortlaut der Richtlinie anpassen müssen. Welche spezifischen Anforderungen müssen erfüllt werden? Der Gesetzesentwurf zur Umsetzung der NIS 2-Richtlinie in unsere Gesetzgebung befindet sich seit dem 31. Mai 2024 im interministeriellen Stellungnahmeverfahren und wurde anschließend auf der Sitzung des Legislativrates der Regierung am 24. September 2024 erörtert und der Regierung zur Annahme empfohlen. Für wen sind die neuen Vorschriften verbindlich und was ist ihr Zweck? Wann sollten Unternehmen überhaupt mit den Vorbereitungen beginnen und bis wann müssen sie alles erledigt haben? Wir werden versuchen, einige Antworten zu geben.
Wer ist von der NIS-Richtlinie 2 betroffen?
Zum jetzigen Zeitpunkt steht fest, dass die slowakische Regelung nicht weicher sein kann als die im Text der Richtlinie selbst festgelegten Regeln. Es ist jedoch unwahrscheinlich, dass es in unserem Land zu einer Revolution kommt wie in den Ländern, in denen die ursprüngliche NIS-Richtlinie nur pragmatisch und minimal umgesetzt wurde, wie z.B. in Slowenien. Nach Schätzungen von Experten werden in der Slowakei etwa 4.600 Unternehmen unter die Verpflichtungen der neuen NIS-2-Richtlinie fallen, verglichen mit 1.600 Unternehmen unter der ursprünglichen Richtlinie. Die Zahlen werden sich vor allem deshalb ändern, weil die Zahl der Sektoren, die die im neuen Gesetz und dem nachfolgenden Dekret festgelegten Maßnahmen ergreifen müssen, gestiegen ist. Dazu gehören Unternehmen der Abfallwirtschaft, der chemischen Produktion, der Lebensmittelverarbeitung, der Post- und Kurierdienste, der Elektroindustrie und der Automobilindustrie. In ähnlicher Weise werden die Verpflichtungen auf den IT-Sektor ausgeweitet. Alle Telekommunikationsbetreiber, Anbieter von verwalteten IT-Diensten und Unternehmen der digitalen Infrastruktur werden der neuen Verordnung unterliegen. Zusätzlich zu den in den Anhängen des Gesetzes aufgeführten IT-Dienstleistern werden die Anforderungen des Gesetzes auch für alle Anbieter verbindlich sein, deren Aktivitäten in direktem Zusammenhang mit der Verfügbarkeit, Vertraulichkeit und Integrität des Betriebs von Netzwerken und Informationssystemen in den Räumlichkeiten des Kunden stehen.
Verpflichtungen der unter die NIS 2 fallenden Einrichtungen
Es kann mit Sicherheit gesagt werden, dass alle Unternehmen, die unter die NIS 2 fallen, verpflichtet sein werden, die Sicherheit von IT-Systemen durch eine Kombination verschiedener Arten von Maßnahmen zu schützen, nicht nur auf technologischer Ebene, sondern auch auf persönlicher, physischer und organisatorischer Ebene. Im Vorteil sind diejenigen, die bereits nach ISO 27001 – Information Security, Cybersecurity, and Privacy Information Security Management Systems – zertifiziert sind. Die Anforderungen, die sich aus NIS 2 ergeben, werden in vielerlei Hinsicht ähnlich sein.
Der erste Schritt bei der Ausrichtung eines Unternehmens auf NIS 2 sollte eine „interne Bestandsaufnahme“ der Informationssysteme sein. Viele Unternehmen bauen Anwendungen schrittweise auf und fügen sie hinzu, und nicht alles ist immer unter der Kontrolle der IT-Abteilung. Mitarbeiter entscheiden sich oft für die Nutzung beliebter Cloud- und Online-Lösungen, ohne die IT-Abteilung zu konsultieren oder sie überhaupt zu kennen. Daher ist der Katalog der Informationsbestände, der durch die Inventarisierung erstellt wird, ein wichtiger erster Schritt, um herauszufinden, was das Unternehmen tatsächlich schützen muss. Zu den Informationsgütern gehören neben Softwarelösungen und Cloud-Diensten auch persönliche Daten, Daten mit Unternehmens-Know-how, Geschäftsgeheimnisse und nicht zuletzt die Räumlichkeiten – der Serverraum und die Orte, an denen Netzwerkelemente außerhalb des Serverraums gespeichert sind.
Wenn ein Unternehmen bereits weiß, was es schützen muss, sollte es auch Prioritäten setzen und die Stärke der Maßnahmen bestimmen, die es zur Sicherung seiner Informationswerte einsetzen möchte. Das bestehende Cybersicherheitsgesetz besagt, dass jede Information, jedes Informationssystem und jedes Netzwerk klassifiziert und kategorisiert werden sollte. Nur durch die Klassifizierung dieser Informationswerte nach ihren Sicherheitsmerkmalen war es möglich zu entscheiden, welche Maßnahmen obligatorisch und welche empfehlenswert waren. Die NIS 2 und der Gesetzentwurf sehen vor, dass Sicherheitsmaßnahmen auf der Grundlage der durchgeführten Risikoanalyse und in Übereinstimmung mit den Cybersicherheitsstandards umgesetzt werden müssen. Unabhängig davon sollte die Stärke der getroffenen Maßnahmen der Bedeutung sowohl der Risiken als auch der Vermögenswerte angemessen sein. Auch hier gilt, dass die Kosten für die Abschwächung eines Risikos nicht höher sein dürfen als die potenziellen Auswirkungen dieses Risikos.
NIS 2 aus der Perspektive des Risikomanagements
Eine rigorose Risikoanalyse und -verwaltung in Bezug auf Informationswerte war bereits Teil des bestehenden Cybersicherheitsgesetzes. Aber unter der NIS 2-Richtlinie wird dies zu einer Schlüsselaktivität für die Entscheidung, welche Maßnahmen zu ergreifen und welche Risiken zu behandeln sind. Die Entscheidung darüber, was noch ein akzeptables Risiko ist, liegt jedoch in den Händen der Geschäftsleitung eines jeden Unternehmens. Diejenigen, die sich noch nicht mit dem Risikomanagement befasst haben, müssen eine interne Zusammenarbeit zwischen der Geschäftsleitung, den Risikoverantwortlichen und dem Cybersicherheitsmanager einrichten. Es liegt in der Verantwortung der Geschäftsleitung, die „Risikobereitschaft“ zu bestimmen, d.h. das Niveau, das das Unternehmen für ein bestimmtes Risiko, einen Prozess oder ein Projekt noch akzeptieren kann. Alle Risiken, die darüber hinausgehen, stellen eine kritische Bedrohung dar. Mit diesen Risiken sollte sich die Geschäftsleitung befassen und auch die notwendigen Ressourcen für ihre Behandlung bereitstellen.
Letztendlich ist es die Unternehmensleitung, die nach der neuen NIS 2-Richtlinie dafür verantwortlich ist, wie das Unternehmen nicht nur mit Risiken, sondern auch mit Cyber-Bedrohungen und potenziellen Vorfällen umgehen kann. Zwar ist die Ernennung eines Cybersicherheitsmanagers bereits heute obligatorisch, doch die gesetzliche Verantwortung geht mit dieser Ernennung nicht auf den Manager über. Er oder sie kann für die erhaltene Dokumentation, die Umsetzung von Präventiv- oder Betriebsmaßnahmen verantwortlich sein. Der IT-Manager hingegen ist für den störungsfreien Betrieb der Systeme verantwortlich, einschließlich der Durchführung der aus Sicht der Cybersicherheit erforderlichen Aktivitäten. Wenn jedoch eine Bedrohung auftaucht, die über die „Risikobereitschaft“ hinausgeht, wird der Cybersicherheitsmanager oder der IT-Manager von der Geschäftsleitung Ressourcen anfordern, um diese Bedrohung anzugehen. Das Management muss in der Lage sein, die Entscheidung zu treffen, ob es Ressourcen für die Behandlung des Risikos zur Verfügung stellt oder nicht.
Schnelle Lösungen oder ein echter Cybersicherheitsmanager
In diesem Fall verlässt sich die Geschäftsleitung darauf, dass der Cybersecurity-Manager die Ressourcen rechtmäßig angefordert hat und dass sie auf der Grundlage einer ehrlichen und professionell durchgeführten Risikoanalyse entstanden sind. Es sollte nicht der Fall sein, dass ein Unternehmen eine Entscheidung auf der Grundlage unzuverlässiger Informationen trifft. Doch genau diese gibt es heutzutage zuhauf, wenn man die Zahl der Themen und Artikel betrachtet, die sich mit NIS 2 befassen. Und bis der Entwurf zur Änderung des Gesetzes über Cybersicherheit vorlag, konnte man nur über die Sektoren oder den Kreis der Unternehmen sprechen, die unter die Verpflichtungen des Gesetzes fallen, die sich aus der neuen Richtlinie ergeben. Wenn jemand einem Unternehmen anbietet, dass er seine Bereitschaft für NIS 2 zum jetzigen Zeitpunkt (Juni 2024) analysieren oder es sofort auf die Richtlinie vorbereiten kann, sagt er auch nicht die Wahrheit. Es ist kein Problem, im Internet ein Angebot für ein kostenloses Cybersicherheitsaudit zu finden, das 5 Minuten dauert, und es gibt sogar Angebote in den sozialen Medien, die in Form eines Fragebogens mit 11 Fragen versprechen, die Bereitschaft eines Unternehmens für die NIS 2-Richtlinie aufzuzeigen. Alles, was Sie tun müssen, so heißt es, ist, eine ID-Nummer einzugeben und das Ergebnis ist sofort verfügbar. Würden Sie sich auf eine solche „Analyse“ mit einem vermeintlich maßgeschneiderten Angebot verlassen? Oder würden Sie sich lieber auf einen Cybersicherheitsmanager verlassen, der das Unternehmen kennt, weiß, welche Informationswerte es nutzt, wie wichtig diese sind und welchen Risiken sie ausgesetzt sind? Der Unterschied im Ansatz ist auf den ersten Blick offensichtlich.
Cybersicherheit als Vorbereitung auf NIS 2
Die NIS 2 ist also keine Revolution. Verantwortungsbewusste Unternehmen halten Cybersicherheit bereits für wichtig und verbessern schrittweise ihren Schutz vor Bedrohungen, ohne dass es dazu eines Gesetzes bedarf. Intuitiv Schritte zu mehr Sicherheit zu unternehmen ist besser, als auf ein Gesetz zu warten, über dessen Details wir noch nicht viel wissen, oder sich auf Vereinfachungen und „Analysen“ zu verlassen, die kostenlos zur Verfügung gestellt werden.
Was die wichtigsten Anforderungen der neuen Gesetzgebung sind und welche Rolle der Cybersicherheitsmanager dabei spielt, erfahren Sie im nächsten Artikel.
*Netz-und Informationssicherheit – NIS 2, Richtlinie des EP und des Rates vom 14. Dezember 2022 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Niveaus der Cybersicherheit in der Europäischen Union.
