Bald besteht für Unternehmen ohne angemessen geschützte IT-Systeme – neben dem Risiko eines (erfolgreichen) Cyberangriffs – auch das Risiko einer Bußgeldsanktionierung. Vor diesem Hintergrund sollten schon jetzt die richtigen Maßnahmen in die Wege geleitet werden, damit hohe Bußgelder vermieden werden und die digitale Arbeitsfähigkeit gesichert bleibt.
Ausgangslage
Am 16.01.2023 ist die „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie)“ in Kraft getreten. Die neue Richtlinie ist der direkte Nachfolger der bereits im Jahr 2016 eingeführten NIS-Richtlinie, welche jedoch nur für Betreiber kritischer Infrastrukturen galt und für diese Mindeststandards im Hinblick auf Cybersecurity in der EU festgelegt hat. Die einzelnen Mitgliedstaaten haben nunmehr bis Oktober 2023 Zeit die Vorgaben der Richtlinie in nationales Recht umzusetzen.
Warum sollen IT-Sicherheitsgesetze auf EU-Ebene harmonisiert werden?
Hintergrund der Verabschiedung einer neuen Richtlinie ist die dynamische Bedrohungslandschaft, die sich zunehmend auf die Netzwerke von Unternehmen auswirkt. Die derzeitige Situation zwingt Unternehmen dazu, sich auf eine Cyberkrise vorzubereiten, um diese im Ernstfall effektiv und effizient bewältigen zu können. Zwischen 2020 und 2021 ist weltweit eine Zunahme von Cyberangriffen auf kritische Infrastrukturen um 45% festgestellt worden. Im gleichen Zeitraum haben die Angriffe in den EU-Mitgliedstaaten jedoch um bis zu 220% zugenommen. Zudem wächst aufgrund der aktuellen geopolitischen Lage die Bedrohung durch Cyberangriffe weiter, insbesondere für die Betreiber wichtiger Dienste, die Ziele einer hybriden Kriegsführung sein könnten. Letzten Endes ist auch die erste NIS-Richtlinie in den einzelnen EU-Mitgliedstaaten unterschiedlich und teilweise nicht zufriedenstellend umgesetzt worden.
Vor diesem Hintergrund möchte die EU einen einheitlicheren Ansatz für den Schutz von Sektoren und Lieferketten schaffen, die kritische Infrastruktur betreffen. Vor allem in diesen Bereichen könnte ein großer Cyberangriff enorme Auswirkungen auf die Wirtschaft jedes einzelnen Mitgliedstaats sowie auch auf den Rest der Union haben. Dies wäre beispielsweise der Fall, wenn ein bedeutendes Energieversorgungsunternehmen eines Landes aufgrund eines Cyberangriffs für kurze oder längere Zeit ausfällt. Bei einem solchen Szenario würden – aufgrund des Handels an Energiebörsen – die Strompreise aller Voraussicht nach in ganz Europa steigen.
Was müssen die Mitgliedstaaten bei der Umsetzung beachten?
Die NIS2-Richtlinie zielt im Gegensatz zur DSGVO-Richtlinie, die ausschließlich dem Schutz von personenbezogenen Daten der EU-Bürger dient, auf den Schutz von allgemeinen Wirtschaftsdaten ab. Bei der Umsetzung der Richtlinie müssen die Mitgliedstaaten eine nationale IT-Sicherheitsstrategie in Gestalt eines förmlichen Gesetzes verabschieden. Dieses soll konkrete Anforderungen an ein spezielles „Cyber“-Risikomanagement und die Berichterstattung der Unternehmen, welche von dem Adressatenkreis der NIS2-Richtlinie umfasst sind, stellen. Außerdem soll auf nationaler Ebene eine Kontaktstelle dafür eingerichtet werden.
Wer ist betroffen?
Die Richtlinie differenziert zunächst zwischen zwei Gruppen von Verpflichteten: Auf der einen Seiten stehen die Betreiber von „wesentlichen Einrichtungen“, denen weitreichende Pflichten auferlegt werden. Demgegenüber trifft Betreiber von „wichtigen Einrichtungen“ lediglich ein abgestufter Pflichtenkatalog.
Zusätzlich zu den spezifischen Branchen, die schon in der NIS-Richtlinie enthalten waren, erstreckt sich die neue NIS2-Richtlinie unter anderem auf die Lebensmittelbranche, Fracht- und Schifffahrtsunternehmen, Telekommunikations- und Datenanbieter, Social-Media-Plattformen und Anbieter von Rechenzentren sowie Unternehmen, die in der Abfall- und Abwasserwirtschaft tätig sind. Daneben werden außerdem Produktionsunternehmen von dem Wirkungsgrad der Richtlinie erfasst, die für die Wirtschaft des Landes wichtig sind.
Zur Kategorie der essentiellen Unternehmen („wesentliche Einrichtungen“) werden insbesondere Telekommunikationsunternehmen, Versorgungsunternehmen und Banken gezählt. Zu den wichtigen Unternehmen gehören zum Beispiel Lebensmittel- und Frachtunternehmen.
Weitere Anforderungen werden in der Richtlinie in Bezug auf die Größe und den Jahresumsatz einer betroffenen Einrichtung gestellt. Unternehmen aus den oben genannten Kategorien, die weniger als 250 Beschäftigte oder einen Jahresumsatz von weniger als 50 Millionen Euro haben, sind von dem Geltungsbereich der Richtlinie ausgenommen. Dennoch könnte aufgrund des Konzepts der Verantwortung für die Lieferkette davon ausgegangen werden, dass auch kleinere Unternehmen, die Zulieferer für die von der Richtlinie erfassten Sektoren sind, die Vorgaben aus der NIS2-Richtlinie einhalten müssen. Darüber hinaus erstreckt sich die Richtlinie auch auf öffentliche Verwaltungen. Derzeit ist allerdings unklar, ob dies beispielsweise für Kommunen gilt.
Was gilt es zu beachten?
Die NIS2-Richtlinie stellt neue Anforderungen an die Ausgestaltung der Cybersecurity von betroffenen Unternehmen und Organisationen. Hierzu zählen insbesondere die Festlegung der Verantwortlichkeit auf Führungsebene, ein wirksames Risikomanagement, einschließlich Risikoanalyse und Reaktion auf Vorfälle sowie die Meldung und Behandlung von Cybervorfällen. Daneben muss auch das entsprechende Fachwissen vorhanden sein und ggf. nachgewiesen werden können.
Das Management eines Unternehmens ist für die Einhaltung der NIS2-Richtlinie verantwortlich und kann bei Verfehlung zur Rechenschaft gezogen werden. Das Unternehmen oder die Organisation selbst muss verschiedene Anforderungen an die IT-Sicherheit erfüllen, einschließlich der Umsetzung von Sicherheitsmaßnahmen und internationalen Standards wie ISO27001 oder dem NIST-Framework.
Die NIS2-Richtlinie enthält keine Checkliste oder Mindestanforderungen an die Schutztechnologie. Es wird lediglich der Umfang eines angemessenen Schutzniveaus beschrieben. Naturgemäß ist der Interpretationsspielraum bei derart weit gefassten Regelungen groß. Es ist jedoch davon auszugehen, dass betroffene Unternehmen zumindest Firewall- und Intrusion-Prevention-Technologien in ihren Netzwerken benötigen. Des Weiteren muss eine Endpunktsicherheit und die Implementierung von Multi-Faktor-Authentifizierung, Datenverschlüsselung und Zugangsbeschränkung gewährleistet sein.
In rechtlicher Hinsicht sollte die Umsetzung und fortlaufende Überwachung der technischen Vorgaben in einem Compliance-Management-System integriert werden. Auch die Delegation von Verantwortlichkeiten sollte zur Haftungsreduzierung an geeignete Mitarbeiter und unter Einhaltung der formellen Voraussetzungen erfolgen. Außerdem sind Reaktionspläne für eine Gefahrenabwehr im Ernstfall unter Beachtung von etwaigen Meldepflichten zu erstellen.
Bei der Umsetzung der neuen Maßnahmen sollten sich Unternehmen jedoch nicht allzu viel Zeit lassen. Bereits 18 Monate nach der Verabschiedung eines nationalen Gesetzes müssen die von der Richtlinie betroffenen Organisationen in der Lage sein, die enthaltenen Vorgaben einzuhalten. Dieser Zeitraum erscheint nur auf den ersten Blick lang. Die Erfahrung hat gezeigt, dass sich viele Unternehmen bei der Entwicklung und Implementierung von neuen (Compliance-)Maßnahmen schwertun. Deshalb ist es wichtig, dass alle betroffenen Einrichtungen und Firmen sofort beginnen.
Welche Risiken bestehen bei Nichtbeachtung der Vorgaben?
Unternehmen können bei Missachtung einzelner Vorgaben der NIS2-Richtlinie mit Geldstrafen von bis zu zehn Millionen Euro oder zwei Prozent des gesamten weltweiten Jahresumsatzes belegt werden. Daneben könnte auch die Geschäftsführung für Schäden haftbar gemacht und vorrübergehend mit einem Tätigkeitsverbot belegt werden. Auch die Ernennung eines Überwachungsbeauftragten ist bei dauerhaften oder schwerwiegenden Verstößen möglich.
Wie bereits erwähnt kommt erschwerend hinzu, dass es – wie schon bei der DSGVO-Richtlinie – auch bei der Umsetzung der NIS2-Richtlinie keinen konkreten Maßnahmenkatalog geben wird, an den sich die Unternehmen halten müssen/können. Es liegt vielmehr an der Organisation selbst, wirksame Maßnahmen für die Einhaltung der entsprechenden Bestimmungen zu ergreifen. Externe Lösungen können somit zwar helfen, aber es verbleibt in der Verantwortung jeden einzelnen Unternehmens, die notwendige Berichterstattung einzurichten.
Wie können sich betroffenen Unternehmen gezielt vorbereiten?
Unternehmen sollten nicht auf die Schnelle, sondern mit Bedacht handeln. Zunächst ist es wichtig zu prüfen, ob das eigene Unternehmen überhaupt unter die neue Richtlinie fällt. Wenn das der Fall ist, sind folgende Aspekte zu beachten:
– Machen Sie sich klar, dass die IT-Sicherheit für die Unternehmensleitung Priorität hat und sich die Führungskräfte ihrer Verantwortung bewusst sind.
– Ermitteln Sie im Rahmen einer Risikoanalyse die Bedürfnisse Ihres Unternehmens und erstellen Sie einen konkreten Ablaufplan. Dabei sollten klare Ziele und Zeitvorgaben zur Umsetzung definiert werden.
– Entwickeln Sie ein Konzept, auf dem Sie Ihre Sicherheit aufbauen können. Dabei können Sie auf gängige Normen, wie zum Beispiel ISO2001 oder NIST, abstellen. Daneben sollten Sie ein weiteres Augenmerk darauf richten, ein wirksames Risikomanagement für Ihre Vermögenswerte und Abläufe zu implementieren.
– Stellen Sie sicher, dass es einen funktionierenden Meldeprozess gibt, der die Anforderungen der NIS2-Richtlinie einhält.
Fazit
Viele Unternehmen müssen sich aufgrund der NIS2-Richtlinie schon bald neuen Herausforderungen stellen. Die vorstehenden Ausführungen verdeutlichen zudem nochmals, dass die Themen Cybersecurity und Cybercompliance auch für Führungskräfte eine immer größere Bedeutung erlangen. Vor diesem Hintergrund sollten sich Betroffene früh mit den Anforderungen und möglichen Maßnahmen befassen sowie bei Fragen zur Ausgestaltung Experten zu Rate ziehen.
