Skip to content

EU-Richtlinie für Cybersicherheit setzt Unternehmen unter Zeitdruck

  • BUSINESS

dusseldorf In vielen Unternehmen ist IT-Sicherheit bislang keine Chefsache. Das dürfte sich in den nächsten Monaten ändern: Am heutigen Montag ist ein Gesetzespaket der Europäischen Union (EU) in Kraft getreten, das Organizationen in verschiedenen Branchen zu einem stringenten Schutz gegen Cyberangriffe verpflichtet – und dabei ausdrücklich das Administration einbezieht.

So sinnvoll das ist: Die Richtlinie „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau“ (kurz: NIS 2) könnte die deutsche Wirtschaft vor erhebliche Probleme stellen. So sind die Anforderungen erheblich. Wer sich damit noch nicht beschäftigt hat, dürfte es schwer haben, die Vorgaben bis Herbst 2024 einzuhalten.

Zudem gilt die Richtlinie nicht allein für Betreiber kritischer Infrastrukturen, sondern für Organizationen aller Artwork und Größe. „Der Knackpunkt: Derzeit wissen wahrscheinlich 80 Prozent der Unternehmen nicht, dass sie von NIS 2 betroffen sind“, sagt Timo Kob, Gründer und Vorstand von Hisolutions, einer Beratung für IT-Sicherheit. Der IT-Sicherheitsexperte schätzt, dass die Regulierung für zusätzlich 40.000 deutsche Firmen gelten könnte.

Welche Unternehmen sich mit der Richtlinie beschäftigen sollten und welche Aufgaben sie jetzt haben: ein Überblick.

Prime-Jobs of Tages

Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.

Warum greift die EU das Thema auf?

Die digitale Infrastruktur sei zentraler Bestandteil „des Alltags und für den grenzüberschreitenden Austausch“ geworden, begründet die EU ihre Initiative. Cybersicherheit sei daher „wichtiger denn je für das reibungslose Funktionieren des Binnenmarkts“. Störungen könnten „die Ausübung wirtschaftlicher Tätigkeiten beeinträchtigen“ und „der Wirtschaft und Gesellschaft der Union großen Schaden zufügen“.

Eine erste europaweite „Richtlinie über die Sicherheit von Netz- und Informationssystemen“ gilt bereits seit 2016. Sie verpflichtet primär die Betreiber kritischer Infrastrukturen zu Schutzmaßnahmen gegen Cyberangriffe, additionally Organisationen und Unternehmen, die wichtig für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen und der Sicherheit sind.

Angesichts der wachsenden Bedrohung hat die EU Ende 2022 das neue Gesetzespaket beschlossen, das über die bisherigen Regelungen hinausgeht – und auch über das deutsche IT-Sicherheitsgesetz 2.0.

Es ist nicht die einzige Initiative aus Brüssel: Parallel führt die EU den „Cyber ​​Resilience Act“ ein, der Vorgaben für die Gestaltung von Produkten „mit digitalen Elementen“ wie Exhausting- und Software program macht. „Die EU will Cybersicherheit möglichst breitenwirksam gestalten“, sagt Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht in Bremen – angesichts der globalen Bedrohungslage sei das auch sinnvoll.

Welche Unternehmen sind betroffen?

Besonders strenge Vorgaben gelten für „Sektoren mit hoher Kritikalität“, wie es in der Richtlinie heißt. Dazu zählen Energieversorger, Verkehrsunternehmen wie Fluggesellschaften und Bahnbetreiber, Web- und Cloud-Anbieter, Banken, Gesundheitsdienstleister sowie Organizationen aus dem Bereich Weltraum, außerdem die öffentliche Verwaltung (hier die vollständige Liste).

braunkohlekraftwerk

Für Energieversorger und Autozulieferer galten bisher schon strengere IT-Sicherheitsregeln. Nun kommen viele weitere Branchen hinzu.

(Picture: IMAGO/Marc John)

Die EU-Richtlinie sieht für „sonstige kritische Sektoren“ ebenfalls Auflagen vor – und das sind viele Branchen: Publish- und Kurierdienste ebenso wie die Abfallwirtschaft, die Chemieindustrie ebenso wie die Lebensmittelproduktion, Hersteller von „Datenverarbeitungsdiem witsgeräten“ ebenstedem digital wie Onlinemarktplätze und Suchmaschinen (hier die komplette Übersicht).

>> Lesen Sie hier: Diese Cybersecurity-Jobs versprechen mit das beste Gehalt

Ebenfalls ein Novum: Die Richtlinie schließt Unternehmen mit mindestens 50 Mitarbeitern und zehn Millionen Euro Umsatz ein. „NIS 2 geht alle an, vom Mittelstand bis zum Dax 40“, betonte daher Iris Plöger, die beim Bundesverband der Deutschen Industrie (BDI) das Thema Digitalisierung verantwortet, im November auf der Handelsblatt-Tagung Cybersecurity. In der deutschen Industrie werde „eine Vielzahl der Unternehmen“ die Anforderungen erfüllen müssen.

Die genaue Ausgestaltung ist indes offen: Die Mitgliedstaaten müssen konkretisieren, welche Einrichtungen wesentlich oder wichtig sind.

Was müssen Unternehmen tun?

Die wohl zentrale Anforderung: IT-Sicherheit wird zum Teil der Unternehmenssteuerung. Organizationen müssen ein Risikomanagement und Notfallpläne einführen. Auch ein System für die zügige Meldung von Vorfällen an die Aufsichtsbehörden wird künftig verpflichtend.

Ein großes, weil komplexes Thema ist die Absicherung der Lieferketten. Immer wieder dringen Kriminelle und Spione über Zulieferer in die Systeme anderer Unternehmen ein – beispielsweise über IT-Dienstleister wie Kaseya und Solarwinds. Auch hier müssen Unternehmen ein Schutzkonzept entwickeln.

Die meisten Häuser haben nicht die Kompetenz, die Maßnahmen selbst umzusetzen – und Berater sind nicht im ausreichenden Maß vorhanden. Timo Kob, Gründer and Vorstand von Hisolutions

Hinzu kommt ein Katalog an technischen Maßnahmen, die künftig verpflichtend sind, in der Richtlinie ist die Rede von „Cyberhygiene“. Dazu zählen beispielweise die systematische Datensicherung, Konzepte für die Zugriffskontrolle, das Administration von Schwachstellen, die Verschlüsselung von Informationen sowie die Schulung der Mitarbeiter.

Was heißt das fürs Administration?

Schon jetzt sind Unternehmen verpflichtet, sich gegen Risiken durch Hackerangriffe zu schützen, das sehen Aktien- und GmbH-Recht vor. „Vorstand oder Geschäftsführung müssen seit jeher mit den üblichen Sorgfaltspflichten arbeiten, auch bei Datenschutz und IT-Sicherheit“, sagt Jurist Kipker.

Mit der neuen Richtlinie wächst allerdings der Druck, das auch systematisch zu tun: Bei Verstößen drohen Einrichtungen „mit hoher Kritikalität“ Strafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes, anderen Firmen von bis zu sieben Millionen 1,4 Euro oderben Prozent des Erloses.

„Die EU überträgt das Modell aus dem Datenschutz auf die Cybersicherheit“, sagt Kipker – die Datenschutz-Grundverordnung ermöglicht ebenfalls Strafen in Millionenhöhe. Die Folge: „Durch die hohen Bußen müssen Unternehmen Cybersicherheit als eigenständiges Thema betreiben, nicht nur als Anhängsel von Compliance oder Datenschutz.“

Welche Probleme bringt die Umsetzung mit sich?

Unternehmen, die bereits jetzt unter die Regulierung für IT-Sicherheit fallen, dürfte die Umsetzung der NIS-2-Richtlinie nach Einschätzung von Experten nicht allzu schwerfallen. Das gilt für Energieversorger ebenso wie für Autozulieferer, die auf Druck der großen Hersteller die branchenspezifische Zertifizierung Tisax benötigen.

Aber: „Die ganzen Maßnahmen, die bislang nur für die großen Unternehmen verpflichtend sind, müssen nun sehr viel mehr Häuser einführen“, sagt Hisolutions-Vorstand Kob. „Das ist zwar sinnvoll, um das Niveau der IT-Sicherheit zu verbessern, aber in diesem kurzen Zeitraum kaum zu bewältigen.“

>> Lesen Sie hier: Vier Lehren aus dem Hackerangriff auf Continental

So könne es bei einem Mittelständler mit 500 oder 1000 Mitarbeitern ein ganzes Jahr dauern, ein Managementsystem für IT-Sicherheit zu etablieren: „So ein Prozess ist sehr zäh.“

graphic

Kob befürchtet einen Engpass. „Die meisten Häuser haben nicht die Kompetenz, die Maßnahmen selbst umzusetzen – und Berater sind nicht im ausreichenden Maß vorhanden.“

Dass Tausende Firmen bis Herbst 2024 die komplexen Systeme einführen können, hält der Experte für unrealistisch. „21 Monate reichen für die Umsetzung von NIS 2 nicht, das Scheitern ist vorprogrammiert“, warnt Kob.

Wie ist der weitere Zeitplan?

Die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umsetzen. Das Bundesinnenministerium (BMI) will in der ersten Hälfte dieses Jahres einen Referentenentwurf vorlegen und die Vorgaben „im Wesentlichen durch Änderungen im BSI-Gesetz“ umsetzen. Es dürften zudem Änderungen am IT-Sicherheitsgesetz 2.0 erforderlich sein, das 2021 in Kraft getreten ist.

„Ich bin skeptisch, ob es der Bundesregierung gelingt, die Richtlinie bis Ende 2024 umzusetzen“, sagt Jurist Kipker. Im Koalitionsvertrag habe sich das Dreierbündnis viele Digitalprojekte vorgenommen, die es zeitgleich anzugehen gelte. Zudem sei die Regulierung der IT-Sicherheit komplex – etwa weil es schon ein deutsches Gesetz gibt.

Extra: „An der Belastungsgrenze“: Experten für die Cyberabwehr werden knapp

.

Leave a Reply

Your email address will not be published. Required fields are marked *