NIS-2-Umsetzung: Bernhard Kretschmer warnt vor Chaos

Bis 17. Oktober 2024 müssen die EU-Mitgliedstaaten die Zweite Auflage der „Network and Information Security Directive“ (NIS-2) in nationales Recht umgesetzt haben

[datensicherheit.de, 16.04.2024] „Ein Blick zurück kann manchmal sehr lehrreich sein: Am 26. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft – genauer gesagt endete die 24-monatige Übergangsfrist“, daran erinnert Bernhard Kretschmer, „Vice President Services and Cybersecurity“ der NTT Ltd. (ein Unternehmen der NTT DATA, Inc.). Er führt weiter aus: „Zwei Jahre hatten deutsche Unternehmen also Zeit, ihre Prozesse an die neue Richtlinie anzupassen. Doch viele wurden erst wenige Tage vor Ablauf der Frist aktiv. Die einen versuchten in Eigenregie, die offensichtlichsten Schwachstellen zu beheben. Andere riefen externe Spezialisten an – mit dem verzweifelten Wunsch, sie im Eilverfahren DSGVO-tauglich zu machen.“ Nun ticke die Uhr tickt jedenfalls erneut: „Jedes Unternehmen, das unter die NIS-2-Richtlinie fällt, sollte spätestens jetzt die Umsetzung angehen und alle Baustellen in seiner IT-Sicherheitsarchitektur schnellstmöglich beheben!“

Foto: NTT DATA

Bernhard Kretschmer: In Deutschland von der NIS-2-Richtlinie mindestens 30.000 Unternehmen direkt betroffen

Unter die NIS-2-Richtlinie fallen alle KRITIS-Betreiber

Man müsse kein Hellseher sein, um zu wissen, dass sich die Geschichte mit NIS-2 wohl wiederholen werde. „Bis zum 17. Oktober 2024 müssen die EU-Mitgliedstaaten die zweite Auflage der ,Network and Information Security Directive’ in nationales Recht umsetzen. In Deutschland liegt bereits ein Referentenentwurf des Bundesinnenministeriums zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vor.“ Künftig seien die betroffenen Betriebe verpflichtet, die Einhaltung der Sicherheitsanforderungen zu gewährleisten und etwaige Vorfälle zu melden.

Unter diese Richtlinie fielen ganz allgemein formuliert alle als Betreiber Kritischer Infrastrukturen (KRITIS) geltenden Unternehmen. Dazu zählten beispielsweise Organisationen aus den Bereichen Energie, Verkehr und Gesundheit, aber auch Anbieter digitaler Dienste und das produzierende Gewerbe. Unterschieden werde zwischen den Kategorien „wichtig“ und „wesentlich“ – „je nachdem wie essenziell die einzelne Organisation für die Gesellschaft, die Sicherheit des Landes und die Wirtschaft ist“.

Mit NIS-2 würden Cyber-Sicherheit und -Resilienz in Deutschland jedenfalls für eine deutlich größere Anzahl von Firmen als bisher zum Top-Thema oder besser gesagt zur Pflicht. Direkt betroffen seien mindestens 30.000 Unternehmen. „Indirekt kommen all jene hinzu, die im Rahmen der Sicherung von Lieferketten besondere Maßnahmen umzusetzen müssen“, erläutert Kretschmer.

NIS-2-Anforderungen könnten tickende Zeitbombe werden

Zwar werde es je nach Einstufung eines Unternehmens als KRITIS-Betreiber oder wichtiger beziehungsweise wesentlicher Einrichtung noch gewisse Übergangsfristen für die NIS-2-Umsetzung geben. Ab Inkrafttreten des Gesetzes könne das BSI allerdings von besonders relevanten Einrichtungen Nachweise über die Umsetzung der Maßnahmen oder Audits einfordern. Kretschmer betont: „Das Damokles-Schwert NIS-2 kann daher schneller wirksam werden, als manchem lieb ist. Fakt ist: Die Anforderungen sind eine tickende Zeitbombe für alle, die ihre IT-Sicherheit bisher vernachlässigt haben.“

Er stellt klar: „Erstens ist NIS-2-Konformität kein Produkt, das man einfach kaufen und tags darauf implementieren kann. Vielmehr müssen sich die von der Regelung betroffenen Unternehmen darüber im Klaren sein, dass die Umsetzung der neuen EU-Richtlinie ein wirklich umfangreiches, strategisches Projekt ist, das Auswirkungen in die unterschiedlichsten Bereiche hinein hat. Bedenkt man außerdem, dass viele Hardware-Komponenten derzeit immer noch lange Lieferfristen haben, ist der zeitliche Rahmen, um ein adäquates Sicherheitspaket zu schnüren, knapp bemessen.“

Nicht zuletzt dürften die wenigsten Betriebe in der Lage sein, die geforderten Auflagen mit der eigenen IT-Mannschaft zu erfüllen. Einen dedizierten „Chief Information Security Officer“ (CISO) habe außerdem nur eine Minderheit implementiert. Auch externe Spezialisten würden auf den letzten Metern immer schwerer zu bekommen sein.

NIS-2 lässt sich nicht aussitzen

Kretschmer warnt: „Wer jetzt auf die Idee kommt, NIS-2 nach dem Motto ,Wo kein Richter, da kein Henker’ auszusitzen – schließlich werden nur die besonders relevanten Einrichtungen auditiert –, handelt jedoch grob fahrlässig.“

Zum einen sei die neue EU-Richtlinie die Antwort auf die wachsenden Bedrohungen in der digitalen Welt. Cyber-Angriffe werden immer raffinierter und Unternehmen müssten sich im eigenen Interesse darauf vorbereiten. Andererseits träfen die vorgesehenen Sanktionen bei Sicherheitsvorfällen die Firmen und Organisationen hart. Als „wesentlich“ eingestuften Betrieben drohten Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes – „je nachdem, welcher Betrag höher ist“.

Der Referentenentwurf des Bundesinnenministeriums sehe sogar vor, dass Geschäftsführer und andere Leitungsorgane mit ihrem Privatvermögen für die Einhaltung der Risikomanagement-Maßnahmen haften. Abschließend gibt Kretschmer Führungskräften daher zu bedenken: „Ihnen droht ein Bußgeld in gleicher Höhe. NIS-2 ist also längst zu einem Compliance-Risiko geworden, das die Verantwortlichen sehr ernst nehmen sollten!“

Weitere Informationen zum Thema:

datensicherheit.de, 10.04.2024
Basis für Cyber-Versicherungen: NIS-2-Richtlinie treibt IT-Mindestvorgaben für Unternehmen / Ab Oktober 2024 könnte der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden

datensicherheit.de, 21.11.2023
NIS-2-Nicht-Umsetzung: Offener Brief des TeleTrusT an den IT-Planungsrat / Aufforderung zur Rücknahme des Beschlusses 2023/39 aus der 42. Sitzung vom 03.11.2023

datensicherheit.de, 13.06.2023
TeleTrusT begrüßt geplantes NIS-2-Gesetz / IT-Sicherheitsniveau in Unternehmen wird laut TeleTrusT „deutlich verbessert“