Das Dekret Nr. 227\/2025 der Nationalen Sicherheitsbeh\u00f6rde \u00fcber Sicherheitsma\u00dfnahmen („227\/2025“) ersetzt das vorherige Dekret Nr. 362\/2018 der Nationalen Sicherheitsbeh\u00f6rde („362\/2018“) und \u00e4ndert zusammen mit der fr\u00fcheren Umsetzung der NIS2 in Form der Novelle des Cybersicherheitsgesetzes, die ab dem ersten Tag des Jahres 2025 in Kraft tritt, die Spielregeln nicht nur f\u00fcr die altbekannten Betreiber von Basisdienstleistungen. Schauen wir uns gemeinsam an, wie. <\/p>\n\n
Das Dekret 362\/2018 war zum Zeitpunkt seiner Verabschiedung ein wichtiger Schritt, es schuf einen betr\u00e4chtlich detaillierten Katalog von Sicherheitsma\u00dfnahmen in Bezug auf die Bereiche gem\u00e4\u00df Artikel 20 Absatz 3 des Cybersicherheitsgesetzes, erg\u00e4nzt durch eine Informationsklassifizierung, eine IS-Kategorisierung und Mindestanforderungen f\u00fcr einzelne IS-Kategorien I-III. Der Wortlaut des Dekrets 362\/2018 hat die Verpflichteten oft zu Tendenzen und einem „Compliance“-Ansatz motiviert, einen betr\u00e4chtlichen Umfang an Sicherheitsanforderungen nur formal durch Dokumentation abzuarbeiten, ohne wirklichen Bezug zu einer echten Risikoanalyse oder Business Continuity. Obwohl im gleichen Atemzug hinzugef\u00fcgt werden sollte, dass gerade die Formalisierung und Dokumentation bei Audits oft als mangelhafte „Ware“ bei den Verpflichteten identifiziert wurden. <\/p>\n\n
Ungeachtet dessen ist mit dem Erlass 362\/2018 der formale Ansatz in der slowakischen Cybersicherheitsrealit\u00e4t teilweise \u00fcberholt und wird durch eine andere Philosophie und einen anderen Ansatz auf der Grundlage des Erlasses 227\/2025 ersetzt. Auch wenn es auf den ersten und vielleicht sogar auf den zweiten Blick nicht sofort so aussehen mag. <\/p>\n\n
Nach der neuesten Fassung des Cybersicherheitsgesetzes werden die Sicherheitsma\u00dfnahmen in Mindestma\u00dfnahmen gem\u00e4\u00df \u00a7 20 Absatz 4 des Gesetzes und allgemeine Sicherheitsma\u00dfnahmen (Bereiche, f\u00fcr die Sicherheitsma\u00dfnahmen ergriffen werden) gem\u00e4\u00df \u00a7 20 Absatz 2 des Gesetzes unterteilt, wobei der Inhalt der Bereiche der Sicherheitsma\u00dfnahmen gem\u00e4\u00df \u00a7 20 Absatz 2 des Gesetzes durch die Verordnung 227\/2025 innerhalb der umfangreichen 151-zeiligen Anlage Nr. festgelegt wird. 1. Noch nichts Neues, das Gesetz war vor der \u00c4nderung in Verbindung mit dem Dekret 362\/2018 \u00e4hnlich strukturiert.<\/p>\n\n
Der entscheidende Punkt ist jedoch, dass der Umfang der Sicherheitsma\u00dfnahmen nach den neuen Vorschriften nur an die Ergebnisse der Risikoanalyse gebunden ist. Man k\u00f6nnte argumentieren, dass die Risikoanalyse ja auch im Rahmen des Dekrets 362\/2018 vorgeschrieben war, aber die Wahrheit ist, dass die prim\u00e4re Identifizierung von Sicherheitsma\u00dfnahmen auf der Klassifizierung von Informationswerten und der Kategorisierung von Netzwerken und Informationssystemen basierte (die Mindestma\u00dfnahmen wurden nach Kategorie I \/ II \/ III festgelegt), wobei die Risikoanalyse oft nur formal, dem Anschein nach, anhand eines Katalogs von Werten durchgef\u00fchrt wurde, die nicht den bereits klassifizierten Werten entsprachen. <\/p>\n\n
Das Ergebnis wurde daher als Risikoanalyse bezeichnet und sah auch so aus, war aber meist ein isoliertes Dokument, das nicht alle Verm\u00f6genswerte des Betreibers des Basisdienstes widerspiegelte, das mit Standardkatalogen von Bedrohungen, in Ausnahmef\u00e4llen auch Schwachstellen, „arbeitete“, ohne das tats\u00e4chliche Risikoprofil der Organisation, ihre Verm\u00f6genswerte, kritischen Aktivit\u00e4ten und nicht zuletzt (gesch\u00e4ftliche und andere) Bed\u00fcrfnisse zu ber\u00fccksichtigen. Es handelte sich im Wesentlichen um eine Formalit\u00e4t, die dem Pr\u00fcfer vorgelegt wurde, weil die Checkliste danach „fragt“. <\/p>\n\n
Was jedoch das Dekret 227\/2025 betrifft, so ist die Verankerung eines systematischen Risikomanagementprozesses mit einer offensichtlichen Zuordnung zur NSA-Methodik (obwohl die Methodik nicht verbindlich ist) und mit einer klaren Unterscheidung zwischen akzeptierten, nicht akzeptierten und Restrisiken obligatorisch. Das Dekret 227\/2025 verlangt ausdr\u00fccklich die nachweisliche Genehmigung der Ergebnisse der Risikoanalyse durch die in Artikel 20 Absatz 4 Buchstabe h) des Gesetzes genannte Person. <\/p>\n\n
Aus praktischer Sicht ist dies ein Schritt nach vorn, weg von der „Entflechtung von Ma\u00dfnahmen“ hin zur Diskussion dar\u00fcber, was f\u00fcr einen bestimmten Grundversorger notwendig, wichtig und vertretbar ist.<\/p>\n\n
Das Dekret 362\/2018 definiert die Sicherheitsdokumentation recht breit und an einigen Stellen beschreibend – auch f\u00fcr die damit verbundene Organisationskultur, das operative Risikomanagement oder Sicherheitshandb\u00fccher.<\/p>\n\n
Das Dekret 227\/2025 n\u00e4hert sich diesem Rahmen zwar inhaltlich nicht an (es ist sogar weniger detailliert als das Dekret 362\/2018), aber es erweitert den Rahmen im Hinblick auf den Umfang. So wird beispielsweise das Vorhandensein von Sicherheitsrichtlinien f\u00fcr einzelne Sicherheitsbereiche (durch die Gesetzes\u00e4nderung wurden die Bereiche erweitert), die Durchf\u00fchrung einer Risikoanalyse, die Bestimmung der H\u00f6he der identifizierten Risiken, der akzeptierten Risiken und der Restrisiken f\u00fcr Verm\u00f6genswerte zusammen mit einer Liste von Verm\u00f6genswerten oder eine dokumentierte Bestimmung des Umfangs und der Art und Weise der Annahme, Einhaltung und Umsetzung von Sicherheitsma\u00dfnahmen, einschlie\u00dflich der Begr\u00fcndung f\u00fcr die Nichtannahme einer Sicherheitsma\u00dfnahme, gefordert. <\/p>\n\n
Dar\u00fcber hinaus ist die Verschiebung auch darin zu sehen, dass die Dokumentation deutlicher mit dem Risikomanagement und der realen Architektur der Umgebung gem\u00e4\u00df Dekret 227\/2025 verbunden ist. F\u00fcr Organisationen, die in der Praxis bereits z.B. ISO 27001 oder andere Rahmenwerke verwenden, ist es ausdr\u00fccklich erlaubt, bestehende Methoden zur Durchf\u00fchrung von Risikoanalysen auf die (zwar unverbindliche, aber gute) von der Nationalen Sicherheitsbeh\u00f6rde der Slowakischen Republik ver\u00f6ffentlichte Methodik abzubilden. <\/p>\n\n
Dies setzt daher diejenigen unter Druck, die bisher auf „Papier“ gearbeitet haben. Die Sicherheitsdokumentation kann nicht einfach nur eine Vorlage sein, die f\u00fcr alle passt. Sie muss die Verm\u00f6genswerte des Unternehmens, seine Architektur und seine Risiken realistisch widerspiegeln. <\/p>\n\n
Eine der gr\u00f6\u00dften Ver\u00e4nderungen ist die explizite Verankerung von Betriebstechnologien (OT) im Text des Dekrets 227\/2025, wo es direkt mit dem Konzept der Betriebstechnologien arbeitet, z.B. in \u00a7 1 und \u00a7 4, und in Anhang 1 Ma\u00dfnahmen nach ihrer Relevanz f\u00fcr IKT und OT aufteilt und Sicherheitsanforderungen festlegt, die die Besonderheiten von OT widerspiegeln (z.B. Notstromversorgung, separate Backup-Systeme, physische und logische Segmentierung von OT vs. IT, OT-Schichten, unabh\u00e4ngige Firewalls f\u00fcr OT). <\/p>\n\n
Dies ist eine bedeutende Ver\u00e4nderung in Bezug auf die Cybersicherheit. Der Rechtsrahmen spiegelt endlich ausdr\u00fccklich wider, dass f\u00fcr SPS, SCADA oder DCS nicht dieselben Grunds\u00e4tze gelten wie f\u00fcr die „B\u00fcro“-IT und dass Verst\u00f6\u00dfe gegen die OT-Regeln echte Auswirkungen haben k\u00f6nnen. <\/p>\n\n
Mit dieser deutlichen Ausweitung des Geltungsbereichs des Gesetzes \u00f6ffnen wir jedoch auch eine neue B\u00fcchse der Pandora. Aus der ohnehin schon kleinen Gruppe der IKT-Experten im Bereich der Cybersicherheit m\u00fcssen diejenigen herausgefiltert werden, die \u00fcber echte Kenntnisse und Spezialisierung f\u00fcr die Welt der OT verf\u00fcgen. <\/p>\n\n
Bei der Erf\u00fcllung der neuen Verpflichtungen ist es wichtig, die Cybersicherheit nicht nur technisch, sondern auch aus rechtlicher Sicht zu betrachten. Wenn eine Organisation ihre Verpflichtungen unter einem erweiterten Rechtsrahmen bewerten muss, ist Rechtssicherheit der Schl\u00fcssel. SIGNUM legal LLC
ist seit langem im Bereich des Regulierungs- und Technologierechts t\u00e4tig und hat bei der Umsetzung von Cybersicherheitsanforderungen geholfen – von der Identifizierung von Risiken bis hin zur Einrichtung von Prozessen und vertraglichen Beziehungen in \u00dcbereinstimmung mit dem Gesetz. <\/p>\n\n
Auf die rechtlichen Rahmenbedingungen muss jedoch die technische Umsetzung folgen. Um die Anforderungen des Gesetzes effektiv zu erf\u00fcllen, ist es ratsam, mit einem Partner zusammenzuarbeiten, der sich sowohl mit OT- als auch mit IT-Sicherheit auskennt. GAMO a.s. bietet die Umsetzung der gesetzlichen Anforderungen, IT\/OT-Audits, Sicherheits\u00fcberwachung und Cybersecurity Manager Services. Mit einer Kombination aus technischem Know-how und praktischer Erfahrung kann sie Organisationen L\u00f6sungen anbieten, die nachhaltig, funktional und gesetzeskonform sind. <\/p>\n\n
Wohin bewegen wir uns also mit dem Dekret 227\/2025? Ob wir uns vorw\u00e4rts oder r\u00fcckw\u00e4rts bewegen, wird in erster Linie davon abh\u00e4ngen, wie Controller, Auditoren und Cybersicherheitsmanager ihre Arbeit machen. Die von diesen Stellen entwickelte Praxis wird zeigen, ob wir auf formelhafte und formalistische Ans\u00e4tze f\u00fcr die Cybersicherheit zur\u00fcckgreifen werden oder auf eine realistische Umsetzung der Sicherheitsanforderungen, die mit der Durchf\u00fchrung von Risikoanalysen und der Zuordnung von Sicherheitsma\u00dfnahmen beginnt, die die identifizierten Risiken realistisch abschw\u00e4chen. <\/p>\n","protected":false},"excerpt":{"rendered":"
Die slowakische Cybersicherheit hat seit dem 1. Januar eine neue Version erhalten. 9. 2025 neue „Arbeitsumgebung“. Aus der Perspektive des Gesetzes, aber auch der bestehenden Praxis im Bereich der Cybersicherheit, ist dies sicherlich keine kosmetische Ver\u00e4nderung. Was sich \u00e4ndert, ist in erster Linie die Philosophie und die damit verbundene Struktur sowie die „Mikroeinstellung“ vieler der Anforderungen mit einem gemeinsamen und einzigen richtigen Ausgangspunkt. <\/p>\n","protected":false},"author":26,"featured_media":5952,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[66],"tags":[],"cislo-magazinu":[72],"class_list":["post-6099","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-mit-den-augen-der-experten","cislo-magazinu-72"],"yoast_head":"\n