EU-weite Stärkung der Cybersicherheit durch die NIS-2-Richtlinie: Neue Pflichten für Unternehmen
Die Umsetzung der EU-Richtlinie über die Sicherheit von Netz- & Informationssystemen, der NIS-2-Richtlinie, bis Oktober 2024 stellt eine deutliche Erweiterung des Adressatenkreises auf EU-Ebene und in den Mitgliedstaaten im Bereich der Netzwerk- und Informationssicherheit dar. Allein in Deutschland sind zwischen 30.000 bis 40.000 Unternehmen und Einrichtungen betroffen. Unter die Vorgängerregulierung NIS-1 fielen noch 4.500 Unternehmen.
Schätzungsweise 80 Prozent der Firmen haben jedoch noch keine Ahnung von der eigenen Betroffenheit. Insbesondere kleine und mittelständische Unternehmen (KMU) sowie Betreiber von kritischer Infrastruktur müssen sich auf umfassende Anforderungen einstellen, die mit hohen Kosten und einem erheblichen Verwaltungsaufwand verbunden sein können. Darüber hinaus besteht ein latenter Mangel an Fachkräften, was die technische und organisatorische Umsetzung in Betrieben erheblich erschwert.
Erfasst werden als sogennante „wesentliche Einrichtungen“ Unternehmen in den Bereichen Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Digitale Infrastruktur und Informations- und Kommunikations-Servicemanagement. Als wichtige Einrichtungen werden unter anderem explizit die Chemiebranche, hier Herstellung und Handel -, die Lebensmittelbranche, hier Produktion, Verarbeitung und Vertrieb, die Anbieter digitaler Dienste sowie Forschungseinrichtungen genannt. Hinsichtlich der Unternehmensgröße schreibt die Richtlinie erstmals einen EU-weit einheitlichen Schwellenwert vor. Erfasst werden grundsätzlich nur mittlere und große Einrichtungen in den betroffenen Sektoren. Jedoch sieht die Richtlinie auch einen Katalog an Unternehmen vor, die unabhängig von ihrer Größe erfassen werden.
Für betroffene Unternehmen wird es damit noch wichtiger, sich mit dem Thema IT-Compliance auseinanderzusetzen. Auch die Geschäftsführung beziehungsweise das zuständige Mitglied der Geschäftsleitung müssen ausreichende Risikomanagementkenntnisse nachweisen. Dies umfasst auch den Aufbau von technischen und organisatorischen Fachkompetenzen im Bereich der Cybersicherheit, etwa hinsichtlich der Kommunikation im Falle eines akuten Cyberangriffs. Tritt ein „erheblicher Sicherheitsvorfall“ ein, so ist eine Erstanzeige binnen 24 Stunden nach Kenntnisnahme des Vorfalls bei der zuständigen Behörde zu erbringen. Weitere Berichtspflichten schließen sich an.
Für die betroffenen Firmen und Einrichtungen empfiehlt es sich frühzeitig ein Informationssicherheitsmanagementsystem (ISMS), wie zum Beispiel nach den Anforderungen der ISO-Norm 27001 oder dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik, zu implementieren. Ein ISMS umfasst die Steuerung und Überwachung der IT-Sicherheitsmaßnahmen im entsprechenden Unternehmen. Eine anerkannte ISMS-Zertifizierung kann außerdem als rechtssicherer Nachweis gegenüber Versicherern und Behörden verwendet werden.
Der Wirtschaftsrat wird sich mit seiner Bundesarbeitsgruppe Cybersicherheit in den nächsten Monaten verstärkt mit der Thematik befassen und Handlungsempfehlungen zur Umsetzung der Richtlinie veröffentlichen. Hierunter fällt etwa die Erstellung eines offiziellen Leitfadens zur Unterstützung von Unternehmen bei der Umsetzung oder die Einrichtung einer zentralen Anlaufstelle für Betriebe. Ziel muss eine Erleichterung des Informationsaustausches zwischen Unternehmen und Behörden und die Verbesserung des Zugangs zu Expertenwissen für Firmen sein. Zudem sollten KMU durch gezielte staatliche Förderprogramme bei der Umsetzung der Richtlinie unterstützt werden. Was die vorgeschriebenen Meldepflichten von Cybervorfällen durch die betroffenen Unternehmen gegenüber Behörden anbelangt, ist eine klare Regelung zur Zusammenarbeit und eine Verpflichtung der Behörden zur Vertraulichkeit und zum Schutz der Unternehmens- und Kundendaten unbedingt notwendig. (AB)