Ob Energieversorger, Onlinemarktplätze, Konzerne oder Mittelständler: Unternehmen müssen auf Geheiß der EU mehr für Cybersicherheit tun. Die Frist ist knapp.
Düsseldorf In vielen Unternehmen ist IT-Sicherheit bislang keine Chefsache. Das dürfte sich in den nächsten Monaten ändern: Am heutigen Montag ist ein Gesetzespaket der Europäischen Union (EU) in Kraft getreten, das Organisationen in verschiedenen Branchen zu einem stringenten Schutz gegen Cyberangriffe verpflichtet – und dabei ausdrücklich das Management einbezieht.
So sinnvoll das ist: Die Richtlinie „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau“ (kurz: NIS 2) könnte die deutsche Wirtschaft vor große Probleme stellen. So sind die Anforderungen erheblich. Wer sich damit noch nicht beschäftigt hat, dürfte es schwer haben, die Vorgaben bis Herbst 2024 einzuhalten.
Zudem gilt die Richtlinie nicht allein für Betreiber kritischer Infrastrukturen, sondern für Organisationen aller Art und Größe. „Der Knackpunkt: Derzeit wissen wahrscheinlich 80 Prozent der Unternehmen nicht, dass sie von NIS 2 betroffen sind“, sagt Patrick Tecklenburg, Geschäftsführer HSE Computersysteme. Der IT-Sicherheitsexperte schätzt, dass die Regulierung für zusätzlich 40.000 deutsche Firmen gelten könnte.
Warum greift die EU das Thema auf?
Die digitale Infrastruktur sei zentraler Bestandteil „des Alltags und für den grenzüberschreitenden Austausch“ geworden, begründet die EU ihre Initiative. Cybersicherheit sei daher „wichtiger denn je für das reibungslose Funktionieren des Binnenmarkts“. Störungen könnten „die Ausübung wirtschaftlicher Tätigkeiten beeinträchtigen“ und „der Wirtschaft und Gesellschaft der Union großen Schaden zufügen“.
Eine erste europaweite „Richtlinie über die Sicherheit von Netz- und Informationssystemen“ gilt bereits seit 2016. Sie verpflichtet primär die Betreiber kritischer Infrastrukturen zu Schutzmaßnahmen gegen Cyberangriffe, also Organisationen und Unternehmen, die wichtig für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen und der Sicherheit sind.
Angesichts der wachsenden Bedrohung hat die EU Ende 2022 das neue Gesetzespaket beschlossen, das über die bisherigen Regelungen hinausgeht – und auch über das deutsche IT-Sicherheitsgesetz 2.0.
Es ist nicht die einzige Initiative aus Brüssel: Parallel führt die EU den „Cyber Resilience Act“ ein, der Vorgaben für die Gestaltung von Produkten „mit digitalen Elementen“ wie Hard- und Software macht. Die EU will Cybersicherheit möglichst breitenwirksam gestalten – angesichts der globalen Bedrohungslage ist das auch sinnvoll.
Welche Unternehmen sind betroffen?
Besonders strenge Vorgaben gelten für „Sektoren mit hoher Kritikalität“, wie es in der Richtlinie heißt. Dazu zählen Energieversorger, Verkehrsunternehmen wie Fluggesellschaften und Bahnbetreiber, Internet- und Cloud-Anbieter, Banken, Gesundheitsdienstleister sowie Organisationen aus dem Bereich Weltraum, außerdem die öffentliche Verwaltung.
Die EU-Richtlinie sieht für „sonstige kritische Sektoren“ ebenfalls Auflagen vor – und das sind viele Branchen: Post- und Kurierdienste ebenso wie die Abfallwirtschaft, die Chemieindustrie ebenso wie die Lebensmittelproduktion, Hersteller von „Datenverarbeitungsgeräten“ ebenso wie die Autoindustrie, zudem digitale Dienste wie Onlinemarktplätze und Suchmaschinen.
Ebenfalls ein Novum: Die Richtlinie schließt Unternehmen mit mindestens 50 Mitarbeitern und zehn Millionen Euro Umsatz ein. NIS 2 geht alle an, vom Mittelstand bis zum Dax 40. In der deutschen Industrie wird „eine Vielzahl der Unternehmen“ die Anforderungen erfüllen müssen.
Die genaue Ausgestaltung ist indes offen: Die Mitgliedstaaten müssen konkretisieren, welche Einrichtungen wesentlich oder wichtig sind.
Was müssen Unternehmen tun?
Die wohl zentrale Anforderung: IT-Sicherheit wird zum Teil der Unternehmenssteuerung. Organisationen müssen ein Risikomanagement und Notfallpläne einführen. Auch ein System für die zügige Meldung von Vorfällen an die Aufsichtsbehörden wird künftig verpflichtend.
Ein großes, weil komplexes Thema ist die Absicherung der Lieferketten. Immer wieder dringen Kriminelle und Spione über Zulieferer in die Systeme anderer Unternehmen ein.
Auch hier müssen Unternehmen ein Schutzkonzept entwickeln.
Hinzu kommt ein Katalog an technischen Maßnahmen, die künftig verpflichtend sind, in der Richtlinie ist die Rede von „Cyberhygiene“. Dazu zählen beispielweise die systematische Datensicherung, Konzepte für die Zugriffskontrolle, das Management von Schwachstellen, die Verschlüsselung von Informationen sowie die Schulung der Mitarbeiter.
Was heißt das fürs Management?
Schon jetzt sind Unternehmen verpflichtet, sich gegen Risiken durch Hackerangriffe zu schützen, das sehen Aktien- und GmbH-Recht vor. Vorstand oder Geschäftsführung müssen seit jeher mit den üblichen Sorgfaltspflichten arbeiten, auch bei Datenschutz und IT-Sicherheit.
Mit der neuen Richtlinie wächst allerdings der Druck, das auch systematisch zu tun: Bei Verstößen drohen Einrichtungen „mit hoher Kritikalität“ Strafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes, anderen Firmen von bis zu sieben Millionen Euro oder 1,4 Prozent des Erlöses.
Die EU überträgt das Modell aus dem Datenschutz auf die Cybersicherheit– die Datenschutz-Grundverordnung ermöglicht ebenfalls Strafen in Millionenhöhe. Die Folge: Durch die hohen Bußen müssen Unternehmen Cybersicherheit als eigenständiges Thema betreiben, nicht nur als Anhängsel von Compliance oder Datenschutz.
Welche Probleme bringt die Umsetzung mit sich?
Unternehmen, die bereits jetzt unter die Regulierung für IT-Sicherheit fallen, dürfte die Umsetzung der NIS-2-Richtlinie nach Einschätzung von Experten nicht allzu schwerfallen. Das gilt für Energieversorger ebenso wie für Autozulieferer, die auf Druck der großen Hersteller die branchenspezifische Zertifizierung Tisax benötigen.
Aber: „Die ganzen Maßnahmen, die bislang nur für die großen Unternehmen verpflichtend sind, müssen nun sehr viel mehr Häuser einführen“, sagt Harald Schulte, Geschäftsführer HSE Computersysteme. „Das ist zwar sinnvoll, um das Niveau der IT-Sicherheit zu verbessern, aber in diesem kurzen Zeitraum kaum zu bewältigen.“
So könne es bei einem Mittelständler mit 500 oder 1000 Mitarbeitern ein ganzes Jahr dauern, ein Managementsystem für IT-Sicherheit zu etablieren: „So ein Prozess ist sehr zäh.“
Schulte befürchtet einen Engpass. „Die meisten Häuser haben nicht die Kompetenz, die Maßnahmen selbst umzusetzen – und Berater wie wir erhalten merklich mehr Anfragen.“
Dass Tausende Firmen bis Herbst 2024 die komplexen Systeme einführen können, hält der Experte für unrealistisch. „21 Monate reichen für die Umsetzung von NIS 2 nicht, das Scheitern ist vorprogrammiert“, warnt er.
Wie ist der weitere Zeitplan?
Die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umsetzen. Das Bundesinnenministerium (BMI) will in der ersten Hälfte dieses Jahres einen Referentenentwurf vorlegen und die Vorgaben „im Wesentlichen durch Änderungen im BSI-Gesetz“ umsetzen. Es dürften zudem Änderungen am IT-Sicherheitsgesetz 2.0 erforderlich sein, das 2021 in Kraft getreten ist.