Was ist neu bei NIS-2? Und was zeichnet NIS-2 gegenüber anderen Gesetzen aus?
Dr. Matthias Zuchowski: Neu bei NIS-2 ist der Anwendungsbereich. Die europäische Richtlinie weitet Cybersicherheit auf sehr viele mittelständische Unternehmen aus. Und auch die Zahl der betroffenen Branchen erhöht sich stark. Alleine in Deutschland müssen sich schätzungsweise 30.000 Firmen mit NIS-2 auseinandersetzen. Dabei sind die grundsätzlichen Anforderungen der NIS-2 weder neu noch wirklich überraschend, wenn man sich bereits vorher mit IT-Sicherheit auseinandergesetzt hat.
Was NIS-2 zum aktuellen Zeitpunkt kompliziert macht, ist das Fehlen von konkreten Vorgaben oder Benchmarks. Denn noch befindet sich das deutsche Gesetz zur Umsetzung – NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) – im Referentenentwurf. Weitere Probleme ergeben sich direkt aus der NIS-2-Richtlinie, hier insbesondere die in Artikel 21 (5) genannten Durchführungsrechtsakte. Diese besagen, dass die EU weitere Vorgaben erlassen kann, wie genau die gesetzlichen Anforderungen aus der NIS-2-Richtlinie umzusetzen sind. Um ein Beispiel zu nennen: In Deutschland gibt es die bereits existierenden gesetzlichen Vorgaben für KRITIS-Unternehmen, das IT-Sicherheitsgesetz und die darauf basierenden Richtlinien des BSI, beispielsweise die "Konkretisierung der Anforderungen an die gemäß Paragraph 8a Absatz 1 BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) umzusetzenden Maßnahmen“. Diese könnten für NIS-2 adaptiert werden. Und eine weitgehende Übernahme der Anforderungen ist meiner Ansicht nach auch durchaus wahrscheinlich, aber der Gesetzgeber kann davon auch abweichen. Wir wissen es zum jetzigen Zeitpunkt schlicht nicht sicher.
Dennoch gilt: Die NIS-2-Richtlinie wird eigentlich nur dem aktuellen Bedrohungsszenario gerecht. Denn Cyberkriminelle rüsten immer mehr auf. Die Tätergruppen leiden nicht unter einer Wirtschaftsflaute, solange Firmen mit ihren IT-Sicherheitsmaßnahmen fahrlässig umgehen. Wir müssen dieser Kriminalität jetzt einen Riegel vorschieben.
Wo haben Unternehmen den größten Handlungsbedarf?
Dr. Matthias Zuchowski: Auf diese Frage gibt es keine pauschale Antwort. Warum? Weil die betroffenen Unternehmen ganz unterschiedliche Voraussetzungen haben. Das reicht von Firmen, die gerade das erste Mal von IT-Sicherheit hören bis zu Unternehmen, die schon entsprechende Maßnahmen umgesetzt haben.
Und wer sich NIS-2 anschaut, findet inhaltlich viele Parallelen zur ISO 27001. Da gibt es große thematische Überschneidungen. Wer also bis heute bei der IT-Sicherheit nur minimale Vorkehrungen getroffen hat, sollte sich daran orientieren. Denn im Prinzip müssen Unternehmen die ISO 27001 weitestgehend einführen. Aber noch fehlen zum Leidwesen der Unternehmen detaillierte Vorgaben zur NIS-2. Das verärgert viele Firmen, denn das Thema ISO 27001 ist komplex, zeitintensiv und kostet Geld. Aber kein betroffenes Unternehmen wird um NIS-2 und weite Schritte in Richtung ISO 27001 herumkommen.
Wer also die Maßnahmen nicht bis zum 18. Oktober 2024 realisiert hat, ist streng genommen nicht mehr gesetzeskonform.
Bis wann müssen Unternehmen NIS-2-konform sein?
Dr. Matthias Zuchowski: Der Stichtag für NIS-2 ist der 18. Oktober 2024. So weit die Theorie. Allerdings müssen die meisten Unternehmen voraussichtlich erst drei Jahre später nachweisen, dass sie NIS-2-konform sind. Daraus ergeben sich eine gute und zwei schlechte Nachrichten:
Die erste schlechte Nachricht: Man muss NIS-2 per Gesetz und EU-Vorgabe ab dem 18. Oktober 2024 umgesetzt haben und compliant sein.
Die gute Nachricht ist: Dass man compliant ist, muss man erst drei Jahre später nachweisen.
Wiederum schlecht: Wenn in diesen drei Jahren etwas passiert, z. B. ein IT-Notfall, dann wird den Verantwortlichen sowohl die Versicherung als auch die Aufsichtsbehörde, die unter Umständen auch die Bußgelder verteilt, diese Nachlässigkeit vorwerfen und ggf. auch bestrafen.
Wer also die Maßnahmen nicht bis zum 18. Oktober 2024 realisiert hat, ist streng genommen nicht mehr gesetzeskonform.
Wie finde ich als Unternehmen heraus, ob ich betroffen bin?
Dr. Matthias Zuchowski: Zunächst einmal gilt: Wer mehr als 50 Mitarbeitende und / oder einen Jahresumsatz beziehungsweise Jahresbilanzsumme größer 10 Millionen hat sowie zu einem der 18 betroffenen Sektoren gehört, fällt künftig unter NIS-2. (Hier finden sie eine Übersicht der betroffenen Sektoren: www.gdata.de/business/nis-2-richtlinie)
Aber die Antwort auf diese Frage ist dann doch nicht so trivial, wie es auf den ersten Moment erscheint. Denn es gibt auch Ausnahmen und die Liste umfasst mehrere Seiten. Das macht es dann doch kompliziert. Für diese Firmen gelten andere Regularien. Ein Beispiel ist der Digital Operational Resilience Act (DORA) für den Finanzsektor. Und die sind im Zweifel sogar strenger als NIS-2. Oder es gibt politische Gründe für eine Sonderbehandlung. So enthält die Richtlinie eine Öffnungsklausel für Kommunen, und über diese ist seitens des deutschen Gesetzgebers noch nicht entschieden.
Eigentlich erinnert die NIS-2-Direktive Vorstände und Geschäftsführungen nur an eine Kernaufgabe, die vielleicht mancher nicht als solche identifiziert hat.
Wie sieht es denn mit den Kosten aus?
Dr. Matthias Zuchowski: Billig ist das definitiv nicht. Aus meiner Sicht besteht durchaus die Möglichkeit, dass der finanzielle Aufwand Unternehmen an den Rand der wirtschaftlichen Leistungsfähigkeit treiben kann. Hier stellt sich die Frage, wie der Gesetzgeber mit solchen Fällen umgeht. Wird es etwa vereinfachte Durchführungsrechtsakte für kleinere Unternehmen geben? Aber aus Kostengründen sich gegen die NIS-2-Umsetzung zu sperren, ist kurzsichtig und gleichermaßen fatal. In der Regel ist eine Investition in IT-Sicherheitsmaßnahmen immer günstiger als die Gesamtkosten für eine Cyberattacke. Und diese kann im schlimmsten Fall auch Firmen in die Insolvenz führen.
Wie sollen Geschäftsführungen und Vorstände mit der neuen Herausforderung umgehen? Wie können sie den Aufwand zusätzlich zu ihrem Tagesgeschäft bewältigen?
Dr. Matthias Zuchowski: Die Antwort wirdnicht allen Vorständen gefallen. Grundsätzlich ist und war die Geschäftsfortführung immer schon deren Thema. Sie müssen dafür Sorge tragen, dass der Geschäftsbetrieb am Laufen bleibt. Die NIS-2 erweitert einfach die Risiken um das Thema IT-Sicherheit. Und darum müssen sich Verantwortliche kümmern. Alles andere wäre grob fahrlässig.
Vielleicht hilft hier ein Blick auf die Bankengesetzgebung. Dort müssen die Vorstände wissen, wie die Risikoabschätzung funktioniert. Und zwar ist das deren Kernaufgabe. Und das gelingt sogar. Hier hat jede einzelne Person im Vorstand einen mindestens hinreichenden Überblick. Denn nur, wenn ich ungefähr weiß, was Sache ist, kann ich auch für IT-Sicherheit sorgen. Die rechte Hand sollte einfach wissen, was die linke macht – und umgekehrt.
Also, eigentlich erinnert die NIS-2-Direktive Vorstände und Geschäftsführungen nur an eine Kernaufgabe, die vielleicht mancher nicht als solche identifiziert hat. Aber: Kein Vorstand, keine Geschäftsführerin muss das persönlich umsetzen. Sie können das auch delegieren, etwa an einen Projektverantwortlichen. Sie müssen es aber überwachen und billigen. Das heißt: Sie müssen verstehen, was los ist und sehen, dass es passiert, dass also die Maßnahmen umgesetzt werden. Die Richtlinie verlangt von keinem ein Informatik-Studium, aber ein regelmäßiger Abstimmungstermin mit der Projektgruppe ist durchaus zielführend. Denn ein Scheitern des NIS-2-Projektes in einem Unternehmen ist keine Option.
Zum Schluss eine Schätzfrage: Wie viele Unternehmen werden am 18. Oktober NIS-2-Konform sein und wie viele dann drei Jahre später?
Dr. Matthias Zuchowski: Ich fürchte, dass maximal zehn Prozent der betroffenen Firmen am 18. Oktober 2024 NIS-2 umgesetzt haben werden. Aber in drei Jahren werden es schon deutlich mehr sein. Vielleicht um die 80 Prozent. 100 Prozent werden es definitiv nicht sein. Die vom Gesetz als „besonders wichtig“ klassifizierten Firmen müssen die Konformität aktiv nachweisen, während die als „wichtig“ eingestuften Unternehmen, also die kleinere Kategorie, nur geprüft werden, wenn es Hinweise gibt, dass sie NIS-2 nicht erfüllen. Da fürchte ich, dass einige Firmen ins Risiko gehen.
Im zweiten Teil erläutert Dr. Matthias Zuchowski, welche Maßnahmen Unternehmen jetzt ergreifen sollten, und stellt einen konkreten Ablaufplan vor.