Wenn Organisationen Fehler vermeiden wollen, ist ein systematischer und verantwortungsbewusster Ansatz bei der Umsetzung der Novelle unerlässlich. Der Schwerpunkt liegt dabei auf der regelmäßigen Bewertung der Sicherheitsmaßnahmen, der Schulung der Mitarbeiter und der Zusammenarbeit mit Cybersicherheitsexperten. Was ist die beste Praxis?
Die Zuweisung angemessener Ressourcen, die Einbindung des Managements und die Zusammenarbeit mit externen Experten zur Verbesserung der Cyber-Resilienz sind wichtig, um die komplexen Anforderungen der ZoKB und der umgesetzten NIS-2-Richtlinie effektiv zu erfüllen.
Die Änderung des Gesetzes Nr. 69/2018 Slg. über Cybersicherheit, die am 1. Januar 2025 in Kraft tritt, führt Änderungen ein, die sich aus der Umsetzung der NIS-2-Richtlinie ergeben. Die grundlegende Änderung ist der Übergang von der Regulierung von Dienstleistungen zur Regulierung ganzer Einrichtungen oder Sektoren, um deren Cyber-Resilienz zu erhöhen. Die Änderung hebt auch eine Reihe von Durchführungsverordnungen auf und ersetzt sie, darunter die Dekrete 164/2018 Coll. und 165/2018 Coll. In Erwartung des Inkrafttretens des neuen Dekrets über Sicherheitsmaßnahmen (vorläufig 1. 7. 2025), bleibt das Dekret 362/2018 Slg. in Kraft.
Unter NIS 2 gilt die Cybersicherheit nicht mehr für einen bestimmten Dienst, sondern für ein ganzes Unternehmen oder einen Sektor. Das Gesetz konzentriert sich also auf den Schutz der Kernaktivitäten des Unternehmens. Unternehmen, die der Regulierung unterliegen, werden nun gemäß den Anhängen 1 und 2 des Gesetzes auf der Grundlage der NACE-Codes definiert, wobei sich Anhang 1 auf hochkritische Sektoren (Essential) und Anhang 2 auf andere kritische Sektoren (Important) bezieht. Das Hauptkriterium für die Einstufung als beaufsichtigtes Unternehmen ist die Größe der Organisation – mehr als 50 Mitarbeiter und ein Umsatz von mehr als 10 Millionen Euro. Einige Unternehmen können jedoch reguliert werden, ohne diese Bedingung zu erfüllen.
Die Änderung führt die Verpflichtung ein, verstärkte Sicherheitsmaßnahmen zu ergreifen, einschließlich Netzwerküberwachung, Schwachstellenmanagement und frühzeitige Meldung von Vorfällen und Bedrohungen. Nicht zu vergessen ist die strafrechtliche Haftung des gesetzlichen Vertreters, der verpflichtet ist, sich über den Stand der Cybersicherheit zu informieren. Das Audit-Verfahren ist so angelegt, dass der Beauftragte direkt involviert ist: Er muss den Audit-Bericht und die Stellungnahme, einschließlich des Plans zur Umsetzung der Maßnahmen, unterzeichnen, und auch wenn er die Dokumente von einer anderen Person erstellen lässt, obliegt es ihm, sie zu überprüfen.
Durch die Übermittlung des Abschlussberichts an die NSA, der seine Unterschrift enthält, bestätigt er sein Wissen und seine Zustimmung. Er ist auch für die Auswahl eines kompetenten Cybersicherheitsmanagers verantwortlich. Obwohl die praktische Verantwortung für das Management von Vorfällen und die Kommunikation mit der NSA beim Manager liegt, bleibt die strafrechtliche Verantwortung bei dem gesetzlichen Vertreter.
Wir haben uns identifiziert, was nun?
Wenn Sie bereits festgestellt haben, dass Sie zu den Unternehmen gehören, die unter das Gesetz fallen – d.h. Sie sind ein Anbieter von wesentlichen oder wichtigen Dienstleistungen oder Sie fallen in eine andere Kategorie, die im Gesetz definiert ist -, dann stehen Sie vor einer Reihe von Schritten, die eine professionelle und dennoch pragmatische Vorgehensweise erfordern.
Zu Beginn ist es wichtig zu verstehen, dass der gesamte Prozess nicht mit einem Audit beginnt. Das Audit ist nur einer der späteren Schritte. Der erste wirkliche Schritt, den ein Unternehmen unternehmen sollte, ist die erste Analyse. Sie wird fachmännisch als GAP-Analyse oder Lückenanalyse bezeichnet. Ihr Zweck ist es, herauszufinden, wo Ihr Unternehmen heute in Sachen Cybersicherheit steht und was ihm fehlt, um die gesetzlichen Anforderungen zu erfüllen.
Sie können die GAP-Analyse auch selbst durchführen, wenn Sie über Mitarbeiter verfügen, die das Gesetz und die relevanten Methoden lesen und interpretieren können. Im Prinzip ist sie einem Audit sehr ähnlich – sie stellt die gleichen Fragen und untersucht die gleichen Bereiche. So wird beispielsweise bewertet, ob Sie über technische Maßnahmen wie Sicherheitsüberwachung, Systemhärtung oder Systeme zur Verwaltung privilegierter Konten verfügen. Auch das Vorhandensein von Sicherheitsrichtlinien, Richtlinien und organisatorischen Vorkehrungen wird bewertet.
Das Ergebnis dieser Analyse ist ein Bild davon, wo Sie stehen – Sie werden zum Beispiel feststellen, dass Sie 40 % der Anforderungen des Gesetzes abgedeckt haben, aber in einigen Bereichen stehen Sie noch ganz am Anfang. Hier kommt der nächste wichtige Schritt ins Spiel: die Planung.
Planung von Sicherheitsmaßnahmen
Auf der Grundlage der identifizierten Lücken müssen Sie einen Vorschlag für die Umsetzung von Sicherheitsmaßnahmen entwickeln – einen Fahrplan, der Ihre realistischen Fähigkeiten, Ressourcen und Prioritäten berücksichtigt. Nicht alle Maßnahmen sind mit hohen Kosten verbunden. Einige sind rein organisatorisch und verfahrenstechnisch, andere erfordern Investitionen in Technologie oder externe Dienstleistungen. Deshalb ist es wichtig, dass Sie festlegen, was Sie in ein, zwei oder drei Jahren erreichen wollen und können. Wichtig ist, dass weder das Gesetz noch der Prüfer von Ihnen verlangen, dass Sie alles sofort erfüllen. Es geht also nicht darum, von Anfang an zu 100 Prozent konform zu sein. Es ist viel wichtiger, dass Sie einen Plan haben, dass Sie daran arbeiten, sich zu verbessern und dass Sie Fortschritte nachweisen können.
Zu dieser Planung gehört auch die Entwicklung einer Cybersicherheitsstrategie. Dies ist ein Dokument, das nicht nur eine Formalität ist. Ganz im Gegenteil, die Strategie sollte von der Leitung der Organisation genehmigt werden und eindeutig festlegen, welche Sicherheitsziele Sie verfolgen, wie Sie diese erreichen wollen und wie Sie die Erreichung dieser Ziele bewerten werden. Für einen Prüfer oder eine Prüfstelle wie die NSA ist das Vorhandensein einer Strategie ein klares Signal, dass die Organisation einen systematischen und managementbewussten Ansatz für die Sicherheit verfolgt.
Es reicht jedoch nicht aus, „vom Tisch“ aus zu planen, um sicherzustellen, dass die gewählten Maßnahmen wirklich angemessen sind. Ein Unternehmen muss von Analysen ausgehen, die aufzeigen, was es wirklich braucht. Hier kommen zwei wichtige Analysen ins Spiel: die Business Impact Analysis (BIA) und die Risikoanalyse, die darauf abzielen, zu ermitteln, welche Prozesse für das Unternehmen am wichtigsten sind, welche Störungen es sich leisten kann (oder nicht), welchen Bedrohungen und Schwächen es ausgesetzt ist und welche Auswirkungen diese haben würden.
Wie würde das in der Praxis funktionieren?
Stellen Sie sich ein Unternehmen vor, das Cloud-Dienste anbietet. In der BIA stellt es fest, dass sein Kernprozess die Bereitstellung der Cloud ist. Dann stellt es sich die Frage: Wie lange können wir es uns leisten, dass dieser Prozess nicht funktioniert? Eine Woche? Einen Tag? Die Antwort lautet: Nicht eine Minute. Ausgehend von dieser Antwort weiß das Unternehmen, dass es über eine Überwachung verfügen muss, um den Ausfall sofort zu erkennen, dass es über Technologien und Mitarbeiter verfügen muss, die in der Lage sind, den Dienst kurzfristig wiederherzustellen, dass es über Backup-Systeme und Krisenszenarien verfügen muss.
Diese Anforderungen führen dann logischerweise zu Sicherheitsmaßnahmen – von technischen (z.B. Netzwerkredundanz, Backups) über organisatorische (Bereitschaftsteams, interne Prozesse) bis hin zu Investitionen (Lizenzen, SOC-Dienste usw.).
Die Ergebnisse dieser Analysen sind nicht nur die Grundlage für die Entscheidungsfindung – sie sind auch Dokumente, die vom Wirtschaftsprüfer oder der NSA während einer Prüfung angefordert werden. Diese Dokumente beweisen, dass Ihre Maßnahmen nicht willkürlich sind, sondern auf einer Bewertung der Risiken und tatsächlichen Bedürfnisse Ihres Unternehmens beruhen.
Schließlich wird der gesamte Prozess mit einem Audit abgeschlossen – entweder intern oder extern. Bei der Prüfung wird untersucht, wie Sie Ihr Cybersicherheitssystem eingerichtet haben, wie gut Sie Ihren Plan und Ihre Strategie umsetzen und was noch zu tun ist. Die Ergebnisse des Audits dienen sowohl als Feedback als auch als Beweis dafür, dass das Unternehmen daran arbeitet, seine Widerstandsfähigkeit zu verbessern.
Die Angleichung an ZoKB ist kein einmaliges Projekt, sondern ein langfristiger Prozess. Es geht nicht darum, schnell etwas zu erledigen, sondern darum, dass ein Unternehmen systematisch eine Sicherheitskultur aufbaut, die seine wertvollsten Güter schützt: Daten, Dienstleistungen, Infrastruktur und das Vertrauen seiner Kunden. Mit einem guten Plan, realistischen Zielen und fachkundiger Anleitung kann selbst ein scheinbar komplexes Gesetz zu einem Instrument zur Stärkung Ihres Unternehmens werden.
