Seit 20 Monaten liegt die NIS-2-Richtlinie zur Cybersicherheit auf dem Tisch, aber Deutschland hat es – genau wie viele andere EU-Länder – nicht geschafft, sie fristgerecht umzusetzen. Doch was bedeutet das für Unternehmen, die den neuen Anforderungen gerecht werden müssen?
Am 17.Oktober 2024, also heute, sollte die zweite Version der Netzwerk- und Informationssicherheits-Richtlinie der EU (kurz NIS-2-Richtlinie) in nationales Recht umgesetzt sein. Leider hat die Bunderegierung in den letzten 20 Monaten die Vorlage aus Brüssel noch nicht in deutsches Recht überführt. Genau wie 20 andere EU-Länder, wie etwa Spanien oder Frankreich. Das "NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz" steht aber nicht am Anfang. Es wurden schon fünf Referentenentwürfe veröffentlicht und durch die Verbände diskutiert. Daraus sind Pläne für den Bundestag und den Bundesrat entstanden. Die Stellungnahme des Bundesrates erfolgte im September 2024 und am 11.Oktober 2024 war die erste Lesung im Bundestag.
Die Maßnahmen, die Unternehmen ergreifen müssen, wenn sie der NIS-2 unterliegen, sind in einem Gesetzestext nicht exakt definiert. Das müssen sie auch nicht sein, denn der Stand der Technik ändert sich laufend. Gesetze dem entsprechend anzupassen, würde einen zu großen Aufwand bedeuten.
Betroffene Unternehmen müssen sich:
Das BSI ist einerseits die Aufsichtsbehörde, möchte aber auch unterstützen und kooperieren. Auf ihrer Seite bieten sie einen Überblick über sinnvolle erste Maßnahmen an
Wer es konkreter haben möchte, kann im Durchführungsrechtsakt für die Internet- und Telekommunikationsbranche nachsehen.
Im Durchführungsakt für Internetdienstleister wird im Haupttext u.a. festgelegt, was Vorfälle sind. Im Annex finden sich konkrete Maßnahmen für die einzelnen Punkte aus Paragraf 30 Abs.2 NIS2UmsuCG. Auf der Seite ist sowohl der erste Entwurf als auch eine von der Europäischen Kommission adaptierte Version vorhanden.
Einen kurzen und bündigen Überblick über die NIS-2-Richtlinie gibt es auf der G DATA NIS-2-Seite. Unsere Experten werden im nächsten Webinar am 13.November 2024 (10:15 bis 11:30 Uhr) einen Überblick geben, teilweise ins Detail gehen und die Fragen der Teilnehmenden beantworten. Die Anmeldung ist hier möglich.
1. NIS-2 ist sinnvoll
EU-Gesetze haben den Ruf, die Bürokratie zu fördern und überflüssige Regulierung zu etablieren. Das gilt aber nicht für die NIS2-Richtlinie. Angesichts der anhaltend hohen Bedrohungslage sollten zumindest die Anbieter von kritischen Dienstleistungen für die Bevölkerung die seit Jahrzehnten geforderten Mindeststandards für Cybersicherheit und Cyberresilienz einhalten. Das ist keine Schikane, sondern Selbsterhaltung.
2. Cybersicherheit ernst nehmen
Nicht nur die NIS-2-Richtlinie stellt klar, dass Geschäftsführer für Mängel in der Cybersicherheit haften. Die hohe Zahl der Angriffe und die immensen Schäden, die Cybervorfälle bewirken können, bringen das Thema Cybersicherheit immer höher auf die Agenda von Geschäftsführernden und Vorständen. Cybersicherheit ist für das gesamte Management kein Thema, das man ignorieren, aussitzen oder wegdelegieren kann. Die Zeit ist gekommen, sich ernsthaft damit auseinanderzusetzen.
3. Cybersicherheit ist ein Prozess
Vielen ist nicht klar, was diese Aussage wirklich bedeutet. Ein Prozess hat per Definition kein Ende. Das bedeutet, dieser wird niemals abgeschlossen sein. Aber keine Bange: Man hat damit ja auch die Zeit, sich kontinuierlich zu entwickeln. Niemand erwartet, dass man innerhalb von ein paar Monaten alle Bedrohungen erschöpfend abgesichert hat. Selbst Unternehmen, die sehr gut aufgestellt sind, brauchen für eine umfassende Analyse und Umsetzung 12 bis 18 Monate - und das unter idealen Bedingungen.
Das Thema Cybersicherheit ist unbeliebt (wie Brandschutz oder Arbeitsschutz) und kompliziert. Man muss bestimmte Dinge lernen (wie zum Beispiel bei der Finanzbuchhaltung) - aber nicht alles und auch nicht sofort. Es ist ein Prozess der kontinuierlichen Weiterentwicklung, den man aber auch starten muss. Je früher, desto besser. Damit sollte man nicht warten, bis das Gesetzgebungsverfahren für die NIS-2-Umsetzung abgeschlossen ist. Die Cyberkriminellen machen das auch nicht.