Sie sind hier: Home » Markt » Hintergrund

Compliance-Auflagen im KRITIS-Bereich


NIS-2 setzt Unternehmen unter Druck: Abwarten? Funktioniert nicht!
NIS-2-Richtlinie: Behörden können bei Nichteinhaltung der Empfehlungen zum Risikomanagement analog zur DSGVO erhebliche Geldstrafen verhängen



Von Bernhard Kretschmer, Vice President Services und Cybersecurity bei NTT Ltd.

Deutsche Unternehmen stehen massiv unter Druck: Der Gesetzgeber verschärft Stück für Stück die Sicherheits- und Compliance-Auflagen, etwa im KRITIS-Bereich mit § 8a Absatz 1a BSIG. Dieser verpflichtet die betroffenen Organisationen, adäquate Systeme zur Angriffserkennung bis spätestens Mai 2023 umzusetzen. Und ein Ende ist nicht in Sicht – denn mit NIS-2 steht eine Richtlinie vor der Tür, die für etliche Unternehmen Konsequenzen haben wird, derer sie sich vermutlich nicht einmal annähernd bewusst sind.

Fakt ist, viele Firmen setzen nur symbolische Maßnahmen im Bereich der Cybersicherheit um und nur wenige überprüfen regelmäßig die Wirksamkeit dieser Lösungen. Angesichts der zunehmenden Abhängigkeit von funktionierenden IT-Umgebungen und der Tatsache, dass die Kriminellen immer raffinierter vorgehen, ist ein geringes Schutzniveau jedoch geradezu fahrlässig.

Eben diese Laissez-faire-Haltung in der Abwehr von Hackerangriffen, die verstärkt durch die Corona-Pandemie und den Ukraine-Krieg die Diskussion über die europäische Sicherheitsstrategie bestimmt, will die EU-Kommission mit der Neufassung der NIS-Richtlinie eindämmen. Es sollen EU-weite Standards für Cybersecurity definiert werden, die nun auch die Industrie verpflichtend umsetzen muss. Dadurch soll die gesamte Infrastruktur resilienter werden. So werden Unternehmen nicht mehr vor die Wahl gestellt – nein, sie müssen einen Mindeststandard an Sicherheit erfüllen.

Und diese Pflicht trifft künftig viel mehr Firmen als bisher. Einerseits hat die EU die Richtlinie auf zahlreiche weitere Branchen mit Versorgungsfunktionen ausgeweitet. Die Vorgaben schließen künftig etwa Anbieter öffentlicher elektronischer Kommunikationsdienste und digitaler Dienste, die Abwasser- und Abfallwirtschaft, Hersteller kritischer Produkte, Post- und Kurierdienste und die öffentliche Verwaltung sowohl auf zentraler als auch regionaler Ebene ein, wobei die Kommission zwischen Marktteilnehmern mit einer entscheidenden und mit einer essenziellen Bedeutung für Wirtschaft und Gesellschaft unterscheidet. Ferner können die Mitgliedstaaten beschließen, dass sie auch für einschlägige Stellen auf kommunaler Ebene gelten. Außerdem werden nun auch Betriebe mit über 250 Mitarbeitern und über zehn Millionen Jahresumsatz als schützenswert eingestuft und müssen künftig Cybersicherheitsstandards wie Audits, Risikoabschätzungen, das zeitnahe Einspielen von Sicherheitsupdates und Zertifizierungen beachten.

Die Umsetzung von NIS-2 stellt die Industrie jedenfalls vor zahlreiche Herausforderungen. Ein Beispiel sind die Meldefristen: Innerhalb von 24 Stunden nach Kenntnisnahme des Sicherheitsvorfalls muss eine erste Meldung als Frühwarnung bei den zuständigen Behörden eingehen. In dieser wird angegeben, ob der Sicherheitsvorfall vermutlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist. Innerhalb von 72 Stunden muss dann ein weiterer Bericht ausgehändigt werden, der die sogenannten Indicators of Compromise beschreibt und der ohne dediziertes Security-Know-how zu einer fast unlösbaren Aufgabe wird.

Spätestens einen Monat nach dem Vorfall ist schließlich noch ein Abschlussbericht fällig, der mindestens eine ausführliche Beschreibung des Sicherheitsvorfalls, seines Schweregrads und seiner Auswirkungen sowie Angaben zur Art der Bedrohung und den getroffenen Abhilfemaßnahmen beinhalten muss. Wer schon einmal ein Unternehmen direkt nach einer Hackerattacke erlebt hat, weiß, wie groß einerseits das Chaos ist und wie knapp andererseits Ressourcen und Zeit sind. Vor allem im Mittelstand ist davon auszugehen, dass die Expertise für die Umsetzung der Richtlinie im Haus nicht vorhanden ist.

Viel Zeit zum Umsetzen bleibt übrigens nicht. Die Verhandlungen sind seit Mai 2022 abgeschlossen, jetzt muss das EU-Parlament den Entwurf mit einem Mehrheitsvotum absegnen, was als reine Formalität gilt und bis Ende des Jahres über die Bühne gehen sollte. Sobald das passiert ist, haben die EU-Mitgliedsstaaten 21 Monate Zeit, die Richtlinie umzusetzen. Wenn man bedenkt, dass manche Hardwarekomponenten derzeit eine Lieferfrist von bis zu eineinhalb Jahren haben, ist der Zeitrahmen, um ein adäquates Sicherheitspaket zu schnüren, mehr als knapp bemessen.

Trotzdem: Eine schlechte oder gar nicht vorhandene Security-Lösung kostet am Ende deutlich mehr als eine gute. Den Mehrwert sehen viele leider erst, wenn sie tatsächlich angegriffen wurden und Produktionsausfälle zu finanziellen Schäden führen. Jedes Unternehmen tut also gut daran, seine Schutzmaßnahmen zu überdenken.

Die NIS-2-Richtlinie verschärft sowieso die Ausgangslage – die Behörden können bei Nichteinhaltung der Empfehlungen zum Risikomanagement analog zur DSGVO erhebliche Geldstrafen verhängen. Nach derzeitigem Kenntnisstand müssen Betreiber entscheidender Dienste mit Geldbußen in Höhe von 2 Prozent des Jahresumsatzes rechnen, Anbieter essentieller Services mit 1,4 Prozent. Hinzu kommt: Die Unternehmensführung wird für etwaige Verstöße in Verantwortung genommen und ist damit haftbar. (NTT: ra)

eingetragen: 27.09.22
Newsletterlauf: 29.11.22

Fico: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hintergrund

  • Was ist das EU-KI-Gesetz?

    Das EU-KI-Gesetz ist da und es hat Auswirkungen auf die Welt des Datenschutzes, Sicherheit, Risiko und Rechnungsprüfung. Das bedeutet, es beeinflusst die Art und Weise, wie diese Funktionen organisiert sind, wie die Fachleute ihre Arbeit verrichten und was sie in ihrer Position zu tun haben.

  • Politikgetriebener Moralisierung

    Am 1. August 2024 tritt der AI Act der Europäischen Union in Kraft getreten. Bitkom-Präsident Dr. Ralf Wintergerst hatte kommentiert: "Ob Deutschland und Europa zu Innovationsstandorten für Künstliche Intelligenz oder zu Nachzüglern werden, hängt entscheidend von der weiteren Ausgestaltung und Umsetzung des AI Acts ab."

  • Entwicklung der HR-Softwareindustrie

    Human Resources gilt heutzutage als Rückgrat eines jeden Unternehmens. Die Verwaltung von Mitarbeiterdaten, die Durchführung von Rekrutierungsprozessen und die Entwicklung von Talenten sind nur einige der vielfältigen Aufgaben, die die Personalabteilung täglich bewältigen.

  • Mittelstand im Regulierungskorsett

    Ziel des Data Acts ist es, einen Wettbewerbsmarkt für Daten zu schaffen und die Wettbewerbs- und Innovationsfähigkeit der EU zu stärken. Durch die Förderung eines fairen, transparenten und wettbewerbsfähigen digitalen Marktes adressiert er die Notwendigkeit einer verstärkten Datenmobilität und -nutzung.

  • Paragrafen 201b Strafgesetzbuch vorgeschlagen

    Das Bundeskabinett hat am 21. August 2024 zu einer bayerischen Initiative zum strafrechtlichen Schutz von Persönlichkeitsrechten vor Deepfakes Stellung genommen. Im Juli dieses Jahres hatte der Bundesrat den bayerischen Gesetzentwurf verabschiedet.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen