Die EU-Mitgliedstaaten müssen bis Mitte Oktober 2024 die zweite Auflage der „Network and Information Security Directive“ in nationales Recht umsetzen. Eine breite Palette von Unternehmen sind betroffen, insbesondere Betreiber kritischer Infrastrukturen. Die Anforderungen von NIS-2 sind komplex und erfordern eine umfassende strategische Umsetzung, die Zeit und Ressourcen beansprucht. Bernhard Kretschmer (Vice President Services und Cybersecurity bei NTT Ltd.) warnt jetzt vor Chaos.
Nicht wenige fühlen sich derzeit an die Zeit vor dem finalen Inkrafttreten der DSGVO erinnert. Zwei Jahre lang hatten deutsche Unternehmen bis zum Stichtag 26. Mai 2018 Zeit, DSGVO-konform zu werden. Dennoch herrschten im Frühjahr 2018 chaotische Zustände. Die einen versuchten es in letzter Minute noch selbstständig zu lösen, während die anderen verzweifelt bei externen Dienstleistern anriefen. Nun droht die Neuauflage denn bis zum 17. Oktober 2024 müssen die EU-Mitgliedstaaten die zweite Auflage der „Network and Information Security Directive“ in nationales Recht umsetzen. In Deutschland liegt bereits ein Referentenentwurf des Bundesinnenministeriums zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vor.
Welche Unternehmen betroffen sind
Die Richtlinie betrifft grundsätzlich alle Unternehmen, die als Betreiber kritischer Infrastrukturen gelten, darunter Organisationen aus den Bereichen Energie, Verkehr, Gesundheit, allerdings auch Anbieter digitaler Dienste und das produzierende Gewerbe. Es wird zwischen den Kategorien „wichtig“ und „wesentlich“ unterschieden, je nach ihrer Bedeutung für die Gesellschaft, die Sicherheit des Landes und die Wirtschaft.
NIS-2 macht Cyber-Sicherheit und -Resilienz in Deutschland für eine erheblich größere Anzahl von Unternehmen zum zentralen Thema beziehungsweise zur Pflicht. Mindestens 30.000 Unternehmen sind direkt betroffen, während indirekt auch diejenigen betroffen sein werden, die besondere Maßnahmen zur Sicherung von Lieferketten umsetzen müssen.
Was ab Oktober passieren kann
Die gute Nachricht: Es wird Übergangsfristen geben. Je nach Einstufung eines Unternehmens als Betreiber kritischer Infrastrukturen oder wichtiger beziehungsweise wesentlicher Einrichtungen fallen diese länger oder kürzer aus. Ab Inkrafttreten des Gesetzes kann das BSI von besonders relevanten Einrichtungen allerdings Nachweise über die Umsetzung der Maßnahmen oder sogar Audits einfordern. Auch die im Raum stehenden Strafen erinnern an die Totengräberstimmung vor DSGVO. Betriebe, die als „wesentlich“ eingestuft werden, drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Der Referentenentwurf des Bundesinnenministeriums sieht sogar vor, dass Geschäftsführer und andere Leitungsorgane mit ihrem Privatvermögen für die Einhaltung der Risikomanagementmaßnahmen haften. Ihnen droht ein Bußgeld in gleicher Höhe.
Es droht Chaos
Bernhard Kretschmer (Vice President Services und Cybersecurity bei NTT Ltd.) warnt: „Das Damoklesschwert NIS-2 kann daher schneller wirksam werden, als manchem lieb ist. Fakt ist: Die Anforderungen sind eine tickende Zeitbombe für alle, die ihre IT-Sicherheit bisher vernachlässigt haben. Erstens ist NIS-2-Konformität kein Produkt, das man einfach kaufen und tags darauf implementieren kann. Vielmehr müssen sich die von der Regelung betroffenen Unternehmen darüber im Klaren sein, dass die Umsetzung der neuen EU-Richtlinie ein wirklich umfangreiches, strategisches Projekt ist, das Auswirkungen in die unterschiedlichsten Bereiche hinein hat. Bedenkt man außerdem, dass viele Hardwarekomponenten derzeit immer noch lange Lieferfristen haben, ist der zeitliche Rahmen, um ein adäquates Sicherheitspaket zu schnüren, knapp bemessen. Nicht zuletzt dürften die wenigsten Betriebe in der Lage sein, die geforderten Auflagen mit der eigenen IT-Mannschaft zu erfüllen. Einen dedizierten Chief Information Security Officer (CISO) hat außerdem nur eine Minderheit implementiert. Auch externe Spezialisten werden auf den letzten Metern immer schwerer zu bekommen sein.“
Weitere Informationen erhalten Sie bei NTT Data.
Quelle: NTT Ltd. (ein Unternehmen der NTT DATA, Inc.)Bernhard Kretschmer, Vice President Services und Cybersecurity bei NTT Ltd. (Quelle NTT Ltd. (ein Unternehmen der NTT DATA, Inc.))
