Die EU-Richtlinie NIS-2 ist in ihrer Umsetzung in Deutschland vorläufig gescheitert. Selbst nach monatelangen Verhandlungen schlug eine Einigung auf ein Gesetz zur Stärkung der Cybersicherheit zwischen SPD, Grüne und FDP fehl. Unternehmen stehen damit weiterhin ohne klare Vorgaben da. Warum sie jetzt trotzdem nicht einfach abwarten sollten und wie sie sich auf die Umsetzung von NIS-2 vorbereiten können, erklärt Florian Korhammer, CISO bei Retarus.
Auf eine politische Einigung über das Gesetz zur Umsetzung der EU-Richtlinie NIS-2 und der Stärkung der Cybersicherheit müssen Unternehmen wohl noch bis nach der Bundestagswahl warten. Bisher blieb Festlegung auf zentrale Punkte aus. Damit wird die Umsetzungsfrist weiter überschritten. Währenddessen machen jedoch steigende Bedrohungen durch Cyberangriffe deutlich, warum Unternehmen eben nicht auf klare Umsetzungsvorgaben aus Berlin warten sollten. Denn auch ohne ein neues nationales Gesetz gilt die NIS-2-Richtlinie bereits in der EU. Wer jetzt nicht handelt, riskiert neben Strafen auch massive Sicherheitslücken.
Die aktuelle Lage
NIS-2 ist ein überaus umfangreiches Werk, welches ein besseres Schwachstellen- und Risikomanagement, ein verschärftes Meldewesen und eine State-of-the-Art-Bedrohungserkennung umfasst. Dabei hat es ein wichtiges Ziel: die Cyber-Resilienz des europäischen Gemeinwesens zu fördern. Im Hinblick auf die international verschärfte Bedrohungslage ist die Richtlinie längst überfällig. Betroffene Unternehmen und Institutionen befinden sich nun im Zugzwang, die Anforderungen rasch und sorgfältig umzusetzen.
Die Umsetzung der NIS-2-Richtlinie ist nach aktuellem Stand sehr durchwachsen. Vollständig implementieren konnte sie bisher kaum einer der 27 Mitgliedstaaten. Einen respektablen Reifegrad (Maturity Level 4: Law approved) können bisher Litauen, Ungarn, Kroatien, Italien und Belgien vorweisen – Deutschland gehört zum Maturity Level 3. Den Nachzüglern ist zwar ein zweimonatiger Gnadenaufschub gewährt, dieser sollte aber nicht zur Stagnation führen. Immerhin geht es hier um das Wohl und die Sicherheit der europäischen Gemeinschaft. Deswegen sollten nicht nur etwaige, angedrohte Compliance-Strafen, die Streichung von Fördergeldern oder der eigene finanzielle Schaden zur Richtlinien-Umsetzung motivieren, sondern auch das Bestreben, die europäischen Güter zu schützen.
In Anbetracht der stetig zunehmenden Bedrohungslage verlangt eine kritische Infrastruktur eine höhere Cyber-Resilienz. Die NIS-2-Verordnung ist dafür ein geeignetes Instrument. Zumindest solange die Umsetzung nicht weiter aussteht und gewissenhaft erfolgt. Die gescheiterten Gespräche in Deutschland zeigen deutlich, dass sich Unternehmen nicht auf eine zügige politische Lösung verlassen können. Daher ist es umso wichtiger, dass sie selbst aktiv werden und sich auf die Umsetzung von NIS-2 konzentrieren.
Ist NIS-2 zu anspruchsvoll?
Doch woran scheitert die erfolgreiche Umsetzung der neuen Verordnung? Fast alle Sicherheitsexperten sind sich einig, dass die Anforderungen von NIS-2 sinnvoll und realistisch umsetzbar sind. Auch das Ziel, die allgemeine Cyber-Resilienz europäischer Institutionen und Lieferketten durch ein verbessertes Risiko- und Schwachstellenmanagement sowie Meldewesen zu stärken, ist lobenswert. Jedoch reichen im Hinblick auf die aktuelle Bedrohungslage punktuelle Cybersicherheitsmaßnahmen nicht aus. Ein ganzheitlicher Ansatz ist erforderlich. Idealerweise gäbe es dazu globale Initiativen, aber eine EU-weit einheitliche Strategie für mehr Cyber-Resilienz ist zumindest ein guter Anfang.
Die Bereitschaft einen Teil dazu beizutragen ist bei den meisten Unternehmen durchaus vorhanden. Jedoch sind die Anforderungen erwartungsgemäß überaus komplex. Es erfordert also viel Geduld, sich durch den Dschungel an Vorschriften zu wühlen, sie zu verstehen und entsprechend umzusetzen. Hinzu kommt, dass sich viele Institutionen vor NIS-2 nur wenig mit den Themen auseinandergesetzt haben. Das verschärfte Meldewesen erfordert z. B. nun die Führung eines Dienstleisterregisters sowie eine Definition von konkreten Prozessen für die Meldepflicht – beides wurde vor NIS-2 vielerorts viel zu wenig beachtet. Eine zusätzliche Komplexität verursacht zudem das Aufkommen von KI-gestützten Cyberangriffsmethoden.
Partner unterstützen bei der Compliance
Verständlicherweise können Unternehmen von der Komplexität, dem Aufwand und gegebenenfalls auch durch einen Mangel an Inhouse-Expertise überfordert sein. In diesem Fall bietet sich dann die Zusammenarbeit mit einem externen Dienstleister an. Mit einem breiten Dienstleistungsportfolio – von Kryptografie über Backup-Services bis zur Absicherung wichtiger Kommunikationskanäle – wird Unternehmen geholfen, sich punktuell NIS-2-konform aufzustellen und geschäftskritische Prozesse wie Kommunikation und Wertschriftenhandel abzusichern. Die Verantwortung kann durch eine solche Zusammenarbeit jedoch nicht abgeschoben werden. Die Unternehmen bleiben für das Management ihrer Sicherheitsinfrastruktur, die Sicherstellung der eigenen Cyber-Resilienz und die funktionierende Zusammenarbeit mit ihren Partnern verantwortlich.
NIS-2 sorgt für einheitliche Sicherheitsstandards und höhere Cyber-Resilienz
Das Thema NIS-2 wurde innerhalb der letzten Jahre ausreichend in der Öffentlichkeit angesprochen. Einige sind dessen bereits überdrüssig geworden. Genau deshalb ist es wichtig zu betonen, dass es sich bei der Richtlinie nicht um eine ineffiziente EU-Bürokratie handelt. Sie enthält sinnvolle Mindeststandards, die zu einer EU-weiten Angleichung der Cyber-Resilienz führen.
Zum Schutz von kritischen Infrastrukturen und Bürgern müssen die Mitgliedstaaten an einem Strang ziehen und vergleichbare Standards einführen. Nur so lässt sich garantieren, dass geschäftskritische Prozesse auch in Krisenzeiten funktionieren. Dies stellt in vielen Branchen nicht nur eine unternehmerische, sondern auch eine moralische Verpflichtung dar. Ein Kommunikationsausfall hätte z. B. während einer wichtigen Operation im wahrsten Sinne des Wortes fatale Folgen. Der Bundestag in Deutschland wird die Umsetzung von NIS-2 vor der anstehenden Bundestagswahl nicht mehr beschließen. Unternehmen sollten deshalb nicht weiter in der Warteposition verharren, sondern die Umsetzung von NIS-2 als strategische Notwendigkeit betrachten. Um in Zukunft nicht unvorbereitet zu sein, sollten sich alle Verantwortlichen in Unternehmen und Institutionen noch einmal vor Augen führen, dass eine effektive Cyber-Resilienz nur durch gemeinsame Anstrengungen erreicht werden kann.
