Seit Dezember 2022 steht fest, dass europaweit mehr als 160.000 Unternehmen ihre Informations- und IT-Sicherheit verstärken müssen. Der rechtliche Rahmen ist klar, bis Oktober 2024 werden Gesetze und die NIS2 in nationales Recht überführt werden. Unternehmen, die bis dahin unter die Kriterien fallen, aber nicht compliant sind, werden mit hohen Verwaltungsstrafen in ähnlicher Höhe wie der DSGVO konfrontiert.

Strafen für nicht oder zu spät gemeldete IT-Sicherheitsverstöße gibt es in Europa bereits seit der Einführung der DSGVO im Jahre 2015. Seitdem wurden sie immer weiter verschärft, so dass bei schweren Verstößen mit bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes gerechnet werden muss. Die NIS2 geht noch einen Schritt weiter. Zusätzlich werden – bei einem nachgewiesenen Fehlverhalten – die Führungskräfte eines Unternehmens, in der NIS2 als ‚Leitungsorgane‘ bezeichnet, in Haftung genommen.

Die NIS2 sieht vor, dass die Geschäftsführung die Risikomanagement-Maßnahmen für Cybersicherheit billigt und die Umsetzung in ihrer Einrichtung oder ihrem Unternehmen überwacht. Sie muss sicherstellen, dass im Fall eines erfolgreichen Angriffs betroffenen Partnern, Zulieferern und Kunden sowie den zuständigen nationalen Behörden Meldung erstattet wird. Um diesen Aufgaben gerecht zu werden, sollen Führungskräfte regelmäßig an Cybersicherheitsschulungen teilnehmen, die sie in die Lage versetzen, Cyberrisiken und Cybersicherheitsmaßnahmen zu erkennen und zu bewerten. Kommen sie dem – nachgewiesenermaßen – nicht nach, kann sie – persönlich – für die Vernachlässigung ihrer Sorgfaltspflicht haftbar gemacht werden. Dieser Umstand hat bereits zu zahlreichen Diskussionen geführt. Denn explizit wird erwähnt, dass die Geschäftsführung von der Wahrnehmung ihrer Leitungsaufgaben entbunden werden kann, bis die Mängel an der NIS2 beseitigt worden sind.

Doch es gibt Licht am Horizont. Führungskräfte können ihre Unternehmen bereits jetzt vorbereiten und sich vor den Strafen und Haftbarkeits-Diskussionen schützen. Die NIS2 sieht 10 Anforderungen vor, die mit verschiedenen organisatorischen und technischen Maßnahmen noch vor Oktober umgesetzt werden können. Allerdings fällt es aufgrund der Unschärfe in der bisherigen Gesetzeslage schwer, die genauen Maßnahmen abzuleiten, die für das jeweilige Unternehmen nötig sind.

Mit der NIS2 werden Cybersicherheitsmaßnahmen in ganz Europa ein einheitlicher Rahmen gegeben. Bislang orientieren sich Informationssicherheitsexperten vor allem an internationalen Standards wie der NIST, CIS Controls, ISO 27001 und anderen wie dem IT-Grundschutz des BSI. Cyberrisiken sollen so spürbar reduziert werden. Damit dieser Plan gelingen kann, ist es unabdingbar, dass sich neben den Informationssicherheitskräften auch die Führungskräfte der betroffenen Unternehmen und Einrichtungen in die Implementierung und Aufrechterhaltung der NIS2-Compliance ihrer IT-Systeme aktiv einbringen.

Als Führungskräfte sollten die folgenden vier Punkte beachten, denn sie helfen ihnen beim Verständnis der Materie und erlauben ihnen die nötigen Maßnahmen zu veranlassen:

1. Sensibilisierung: Führungskräfte müssen sich grundlegend mit der Materie der Cybersicherheit vertraut machen, so dass sie in engem Austausch mit ihren Informationssicherheitsexperten stehen, von diesen informiert werden und ihnen fundierte Weisungen erteilen können.

2. Personal: Sie müssen sich eine agile Informationssicherheitsabteilung aufbauen, mit dem sich die erhöhten Anforderungen von NIS2 bewerkstelligen lassen. Dabei wird es unerlässlich sein, neben dem Chief Information Security Officer (CISO) für die Datensicherheit auch einen Data Protection Officer (DPO) einzusetzen. Es sollte tunlichst darauf geachtet werden, nicht einer Person beide Posten zu übertragen, sondern die Aufgaben sinnvoll untereinander aufzuteilen.

3. Audit: Sie müssen sicherstellen, dass die einzelnen Bereiche einer kritischen Prüfung und Analyse hinsichtlich der Risikolage unterzogen, an NIS2 angepasst und NIS2-konform auditiert werden.

4. Incident Response: Nicht zuletzt müssen sie außerdem sicherstellen, dass Vorkehrungen für den Fall eines erfolgreichen Cyberangriffs auf das Unternehmen oder die Einrichtung getroffen werden. Partner, Zulieferer und Kunden sowie die entsprechenden nationalen Behörden werden dann schnellstmöglich informiert werden müssen. Die Zeitvorgaben für die Meldung von Vorfällen umfassen eine Frühwarnung, die innerhalb von 24 Stunden nach Kenntniserlangung über den Vorfall an die Behörde erfolgen muss, eine bereits detailliertere und formellere Meldung innerhalb von 72 Stunden und einen Abschlussbericht einen Monat nach Einreichung der Meldung.

Fazit

Nur wenn Geschäftsführung und Informationssicherheitsfachleute an einem Strang ziehen, kann die Umstellung der Cybersicherheit auf NIS2 gelingen. Es handelt sich hier nicht um ein simples Projekt, nicht um eine Aufgabe von wenigen Wochen oder Monaten. NIS2 ist eine kontinuierliche, eine Langzeitaufgabe. Ab 2028 werden Unternehmen jedes Jahr die NIS2-Konformität ihrer IT-Infrastruktur nachweisen müssen. Sie werden nachweisen müssen, dass sie „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen“ ergriffen haben, „die dem Stand der Technik und den geltenden Normen entsprechen“.

Darüber hinaus müssen sie sich nach der Umsetzung der NIS2 auch den European Cyber Resilience Act (CRA) in den Blick nehmen. Denn im September 2022 hatte die Europäische Kommission zur Verbesserung der Cybersicherheit und der Widerstandsfähigkeit gegenüber Cyberangriffen in der EU eine weitere Richtlinie erlassen. Die CRA soll gemeinsame Cybersicherheitsstandards für Produkte mit digitalen Elementen wie vorgeschriebene Reportings über Zwischenfälle und Sicherheitsupdates durchsetzen. Denn eines ist sicher, Cybersicherheit lässt sich nicht über Nacht erreichen, es ist ein Prozess, der einem Marathon und keinen Sprint gleicht.

Wenn Sie Fragen zu NIS2 haben oder wissen möchten, wie Check Point Ihnen helfen kann, wenden Sie sich bitte an: nis2@checkpoint.com