„Warum müssen wir immer erst aus Schaden klug werden?“ – mit dieser rhetorischen Frage kritisierte BSI-Chefin Claudia Plattner unlängst die aus ihrer Sicht immer noch unzureichenden nationalen Vorkehrungen beim Cyberschutz. Defizite gibt es der Leiterin des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zufolge vor allem bei der Koordination der auf Bundes- und Landesebene verantwortlichen Stellen, die im Krisenfall eine flächenbrandartige Ausbreitung von Systemausfällen verhindern soll.
Zwei bedeutende Schritte in diese Richtung stellen das KRITIS-Dachgesetz und die NIS2-Richtlinie dar. Mit der zum Oktober 2024 festgelegten Umsetzung in deutsches Recht treten nicht nur in Deutschland, sondern EU-weit höhere Sicherheitsstandards für Netz- und Informationssystemen in Kraft. Ein wesentliches Unterscheidungsmerkmal beider Gesetze stellen die unterschiedlichen Geltungsbereiche dar. Während das Dachgesetz die Stärkung der Widerstandskraft kritischer Infrastrukturen durch erweiterte Betreiberpflichten und sektorenübergreifende Ziele beabsichtigt, sieht NIS2 die Einhaltung entsprechender Compliance-Vorgaben bereits für mittlere Unternehmen vor, die auch jenseits klassischer kritischer Infrastrukturen angesiedelt sind. Es ist davon auszugehen, dass für ungefähr 30.000 betroffene Unternehmen die Security-Pflichten steigen werden. Als erstes sollten Unternehmen also ermitteln, ob sie dem neuen Geltungsbereich von NIS2 unterliegen und gemäß der Unterscheidungskriterien nach Unternehmensgröße und Sektorenzugehörigkeit als „wichtige“ oder „besonders wichtige“ Einrichtungen gelten. Als Orientierungshilfe empfehlen wir Ihnen unsere NIS2-Checkliste.
Das Ziel der NIS2-Richtlinie besteht im Wesentlichen darin, die Widerstandsfähigkeit europäischer Unternehmen gegen Cyberangriffe zu erhöhen. Betroffene Einrichtungen müssen sich zur Einhaltung eines Maßnahmenkatalogs verpflichten, welcher spezifische Vorgaben der zu treffenden technischen und organisatorischen Vorkehrungen sowie zum Meldewesen bei Sicherheitsvorfällen enthält. Wenngleich eine vollumfängliche NIS2-Compliance in erster Linie als strategische Investition in die eigene Sicherheit und Risikominimierung begriffen werden sollte, steht über allem doch die regulatorische Pflicht, deren vorsätzliche oder fahrlässige Missachtung empfindliche Verwaltungsstrafen nach sich ziehen kann. Je nach Einstufung können die Sanktionen bei wichtigen Einrichtungen zwischen 100.000 Euro und bis zu 7 Mio. Euro oder 1,4 Prozent des globalen Umsatzes ausmachen. Bei besonders wichtigen Einrichtungen erhöht sich die Obergrenze sogar auf bis zu 10 Mio. Euro beziehungsweise 2 Prozent des globalen Umsatzes.
Ein ganz entscheidender Punkt der NIS2-Compliance besteht darin, dass diese ein proaktives Handeln seitens der Unternehmen voraussetzt. Das bedeutet, dass sich die Mehrzahl der Einrichtungen und Betreiber selbst identifizieren und beim BSI registrieren müssen. Für besonders wichtige und wichtige Einrichtungen sowie DNS-Registries ist hierfür eine dreimonatige Frist vorgesehen. Da dieser Schritt jedoch kaum ohne umfängliche Vorbereitungen möglich ist, sollten betroffene Unternehmen jedoch nicht bis Oktober 2024 damit warten.
Von der Manipulation physischer Sicherheitsbarrieren bis zum digitalen Angriff: Ein umfassendes Verständnis für potenzielle Schwachstellen und Bedrohungen bildet eine der wichtigsten Voraussetzungen, um wirksame Maßnahmen für die Sicherheit von Anlagen und Informationssystemen zu entwickeln. Der gefahrenübergreifende Ansatz von NIS2 schreibt daher eine detaillierte Risikoanalyse vor, aus der sich weitere verpflichtende Maßnahmen zum Informationssicherheitsmanagement (ISMS) ableiten: