Die Cybersicherheit wird zu einem integralen Bestandteil des täglichen Funktionierens der modernen Gesellschaft. Die NIS 2-Richtlinie (Netz- und Informationssicherheit) der Europäischen Union ist eine Reaktion auf die sich schnell entwickelnden Cyber-Bedrohungen, deren Auswirkungen über nationale und sektorale Grenzen hinausgehen.
Die Umsetzung der NIS 2-Richtlinie in slowakisches Recht zielt darauf ab, den Schutz kritischer Infrastrukturen, wirtschaftlicher Einrichtungen und einer Vielzahl von Unternehmen gegen die wachsenden Risiken von Cyberangriffen zu stärken. Die geänderte Richtlinie ist eine Antwort auf die neuen Herausforderungen und Risiken, die sich aus der bisherigen Praxis ergeben haben.
Der ursprüngliche Rahmen war oft nur auf die größten Unternehmen und kritischen Sektoren beschränkt, was zu Schwachstellen beim Schutz kleinerer Einheiten führte, die zunehmend das Ziel von Cyberangriffen sind. Bestehende Bedrohungen wie Ransomware-Angriffe, Phishing-Kampagnen oder die Ausnutzung von Schwachstellen in Software berücksichtigen nicht die Unterschiede zwischen kleinen und großen Organisationen. Angriffe zielen oft auf kleinere Unternehmen ab, die nicht über ausreichende Sicherheitsmaßnahmen verfügen, und diese Vorfälle können eine Kettenreaktion auslösen, die ganze Branchen betrifft.
Ausweitung des Geltungsbereichs: Wer ist davon betroffen?
Eine der wichtigsten Änderungen, die durch die Richtlinie eingeführt wurden, ist die Ausweitung des Spektrums der Einrichtungen, die unter die neuen Vorschriften fallen. Während sich die ursprüngliche Gesetzgebung auf sogenannte wesentliche Dienstleister (ESPs) in Bereichen wie Energie, Verkehr, Gesundheitswesen und Banken konzentrierte, wird diese Liste durch die NIS 2 erheblich erweitert. Organisationen in der verarbeitenden Industrie, im Lebensmittelvertrieb, in der Abfallwirtschaft, aber auch Anbieter digitaler Dienstleistungen werden nun zu den vollwertigen PSPs im Geltungsbereich des Gesetzes gezählt.
Die NSA hat auf ihrer Website eine Orientierungshilfe zur Verfügung gestellt, um festzustellen, ob ein Unternehmen in das Register der Anbieter von Basisdienstleistungen gemäß Abschnitt 17 des Gesetzes Nr. 69/2018 Slg. über Cybersicherheit aufgenommen wird und ob es verpflichtet ist, die NIS 2-Verordnung einzuhalten.
Darüber hinaus werden klare Kriterien für die Größe und Bedeutung von Organisationen festgelegt. Unternehmen mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von mehr als 10 Millionen Euro, deren Geschäftsgegenstand im Anhang des Gesetzes definiert ist, fallen automatisch in den Geltungsbereich des Gesetzes. „Diese Definition ist jedoch nicht allgemeingültig. Bestimmte Dienstleistungen, die unter Sicherheitsgesichtspunkten besonders sensibel sind, wie die Bereitstellung von DNS-Diensten oder TLD-Administratoren, werden unabhängig von ihrer Größe abgedeckt sein. Dieser Schritt ist notwendig, da ein Angriff auf diese Art von Diensten große Auswirkungen auf Tausende von Kunden, darunter auch große Unternehmen, haben kann“, erklärt Zuzana Holý Omelková, CCO von GAMO (im Bild), die Gründe.
Gleichzeitig bringt die Ausweitung des Geltungsbereichs neue Herausforderungen für Unternehmen mit sich, die sich bisher nicht auf dieser Ebene mit Fragen der Cybersicherheit befassen mussten. So müssen beispielsweise kleinere Hersteller oder Lebensmittelhändler, die die Möglichkeit von Cyberangriffen und vor allem deren Auswirkungen unterschätzt haben, nun darauf vorbereitet sein, ihre IT-Systeme zu schützen, potenzielle Risiken zu analysieren oder das Sicherheitsbewusstsein ihrer Mitarbeiter zu erhöhen.
Risikoanalyse: die Grundlage für wirksamen Schutz
Eine der wichtigsten Anforderungen der neuen Gesetzgebung ist die Einführung einer systematischen Risikoanalyse. Dabei handelt es sich um einen proaktiven Ansatz zur Risikoerkennung und zum Risikomanagement, der über die traditionellen Modelle des Schutzes hinausgeht. Bei der Risikoanalyse geht es nicht mehr nur um den Schutz bestimmter Systeme oder Daten. Unternehmen müssen ihre gesamte Betriebsumgebung berücksichtigen, einschließlich der Interaktionen mit externen Anbietern, der verwendeten Software und der physischen Infrastruktur.
„Ein Logistikdienstleister muss zum Beispiel nicht nur die Risiken seines eigenen IT-Systems berücksichtigen, sondern auch die der Integration mit den Systemen seiner Partner. Eine Schwachstelle auf einer Seite der Lieferkette kann ein Sicherheitsrisiko für das gesamte System darstellen“, bestätigt Zuzana Holý Omelková.
Für eine effektive Risikoanalyse ist es notwendig, die Sicherheitsrichtlinien regelmäßig zu aktualisieren, die Systeme auf ihre Widerstandsfähigkeit gegen Angriffe zu testen und mit spezialisierten Beratern oder Sicherheitsteams zusammenzuarbeiten.
Durchführung von Sicherheitsmaßnahmen
Die Ergebnisse der Risikoanalyse bilden die Grundlage für die Umsetzung von technischen, organisatorischen und personellen Maßnahmen, die auf die spezifischen Bedürfnisse des Unternehmens zugeschnitten sein müssen. „Auf der technischen Ebene gehören dazu zum Beispiel der Einsatz von Firewalls, die Verschlüsselung der Kommunikation, die Überwachung des Datenverkehrs und regelmäßige Software-Updates. Auf organisatorischer Ebene sind die Schulung der Mitarbeiter, die Umsetzung von Sicherheitsrichtlinien und die Entwicklung von Reaktionsplänen auf Vorfälle von entscheidender Bedeutung“, sagt ein Vertriebsleiter und Cybersecurity-Experte von GAMO.
Einige Organisationen müssen noch weiter gehen und spezielle Maßnahmen ergreifen. So müssen Unternehmen, die sensible Daten wie Krankenakten speichern, nicht nur Zugriffsrechte, sondern auch die Nachvollziehbarkeit der Verwaltung dieser Daten sicherstellen. Cloud-Anbieter sind verpflichtet, die hohe Verfügbarkeit ihrer Dienste und gleichzeitig die Sicherheit ihrer Infrastruktur vor Hackerangriffen zu gewährleisten.
Cybersecurity Manager: eine Schlüsselrolle
Die Position ist wichtig, um alle Sicherheitsmaßnahmen zu koordinieren. Der Manager muss qualifiziert und unabhängig von anderen Abteilungen sein, um die Sicherheitsprozesse effektiv zu überwachen. „Für viele kleinere Organisationen ist dies eine Herausforderung, da sie nicht über die internen Kapazitäten verfügen, um eine solche Position zu besetzen“, betont Zuzana Holý Omelková und bietet eine Alternative an, die darin bestehen kann, den Service an einen externen Anbieter auszulagern: „Diese Lösung ist oft sogar kostengünstiger.“
Meldung von Vorfällen und Prävention
Die NIS-Richtlinie 2 legt einen starken Schwerpunkt auf Prävention und frühzeitige Reaktion. Organisationen sind verpflichtet, nicht nur Vorfälle zu melden, die bereits Schaden verursacht haben, sondern auch potenzielle Bedrohungen und abgewehrte Angriffe. Dieser proaktive Ansatz kann ein umfassenderes Bild der aktuellen Risiken auf nationaler Ebene schaffen und wichtige Informationen zwischen den Akteuren austauschen. Die Meldung muss innerhalb von 72 Stunden nach Feststellung des Vorfalls erfolgen, wobei die Frist für erhebliche Bedrohungen nur 24 Stunden beträgt.
Wirtschaftliche und rufschädigende Herausforderungen
Die Umsetzung von NIS 2 erfordert erhebliche Investitionen, was besonders für kleinere Unternehmen eine Herausforderung darstellen kann. Zu diesen Kosten gehören die Anschaffung von Technologie, die Schulung von Mitarbeitern, die Prüfung von Sicherheitsmaßnahmen und mögliche Geldstrafen bei Nichteinhaltung. Andererseits sind diese Investitionen auf lange Sicht deutlich geringer als der Schaden, der durch Cyberangriffe entsteht.
Neben den finanziellen Aspekten ist auch der Ruf wichtig. „Unternehmen, die ein hohes Schutzniveau für ihre Systeme und Daten aufweisen, gewinnen das Vertrauen von Kunden und Geschäftspartnern. Umgekehrt kann eine schlechte Sicherheit zu einem Vertrauensverlust und einem Rückgang der Wettbewerbsfähigkeit führen“, warnt Zuzana Holý Omelková von GAMO.
Die Einführung der NIS-2-Richtlinie in der Slowakei stellt einen Durchbruch für den Bereich der Cybersicherheit dar. Sie ist eine Herausforderung, aber auch eine Chance, zu modernisieren, die Widerstandsfähigkeit zu erhöhen und die Zusammenarbeit zwischen dem privaten und dem öffentlichen Sektor zu verbessern.
