Neue EU-Cybersecurity Richtlinie: Mehr Sicherheit (und Aufwand) für alle!
25.04.2023
PC, Information & Telekommunikation
Die Umsetzung der EU-Richtlinie über die Sicherheit von Netz- & Informationssystemen stellt eine deutliche Erweiterung des Adressatenkreises im Bereich der Netzwerk- und Informationssicherheit dar, es sind nun 18 Sektoren abgedeckt. Allein in Deutschland, so schätzen IT-Sicherheitsexperten, werden bis zu 40.000 Unternehmen und Einrichtungen betroffen sein. Und viele wissen wahrscheinlich noch gar nicht, dass sie von NIS-2 betroffen sind!
Welche Organisationen betroffen sind
Im Adressatenkreis erfasst werden als sogenannte "wesentliche Einrichtungen" Unternehmen in den Bereichen Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Digitale Infrastruktur und Informations- und Kommunikations-Servicemanagement. Als wichtige Einrichtungen werden unter anderem explizit die Chemiebranche (Herstellung und Handel), die Lebensmittelbranche (Produktion, Verarbeitung und Vertrieb), die Anbieter digitaler Dienste sowie Forschungseinrichtungen genannt. Erfasst werden grundsätzlich nur mittlere und große Einrichtungen in den betroffenen Sektoren. Hinsichtlich der Unternehmensgröße schreibt die Richtlinie einen EU-weit einheitlichen Schwellenwert (ab 50 Mitarbeiter und 10 Mio. EUR Umsatz p.a.) vor. Jedoch sieht die Richtlinie auch einen Katalog an Unternehmen vor, die je nach Kritikalität unabhängig von ihrer Größe erfasst werden.
Für bisher schon streng regulierte Bereiche ändert sich wenig, aber man beachte die große Zahl derer, die sich neu darauf einstellen müssen. Es sind höhere Kosten zu erwarten (Schätzungen gehen von bis zu 20% Mehraufwand im Bereich Cybersicherheit aus) und die Maßnahmen können mit einem erheblichen Verwaltungsaufwand verbunden sein, insbesondere kleinen und mittelständischen Unternehmen (KMU) wird das Sorgen bereiten. Der darüber hinaus bestehende Mangel an Fachkräften in der Informationssicherheit erschwert die technische und organisatorische Umsetzung in Betrieben.
Für alle Unternehmen ist es zum eigenen Schutz wichtig, Maßnahmen zu ergreifen, jedoch für die von NIS-2 betroffenen Organisationen wird es ratsam sein, sich intensiver mit dem Thema Informationssicherheit und insbesondere der Cybersicherheit (also Sicherheit in digitalen Systemen) auseinanderzusetzen, um Risiken aus dem Gesetz (Strafen, persönliche Risiken) zu vermeiden.
Neben dem Aufbau eines Risikomanagements ist auch der Aufbau von technischen und organisatorischen Fachkompetenzen im Bereich der Cybersicherheit nötig, z.B. hinsichtlich der Kommunikation im Falle eines akuten Cyberangriffs. Im Falle eines relevanten Vorfalls sind zeitnah Meldepflichten bei der zuständigen Behörde zu erbringen.
Bezug auf die Normenreihe ISO/IEC 27000
Für die betroffenen Firmen und Einrichtungen empfiehlt es sich frühzeitig, vorzusorgen und ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen, soweit nicht bereits ein Solches betrieben wird, zum Beispiel nach den Anforderungen der Norm ISO/IEC 27001. Ein ISMS umfasst die Steuerung und Überwachung der IT-Sicherheitsmaßnahmen im entsprechenden Unternehmen. Das Gesetz macht keine detaillierten Vorgaben, inhaltlich sind die Zusammenhänge jedoch klar. Und der Bezug auf die Norm ist ein Vorteil, denn damit ist der Handlungsrahmen für die Unternehmen gesetzt, zitiert sie doch als Bezugsrahmen für die Umsetzung die Normenreihe ISO/IEC 27000, zu der auch die ISO/IEC 27001 gehört. Auf Basis der Norm ISO/IEC 27005 kann auch ein Risikomanagement für die Informationssicherheit eingeführt werden. Als Nebeneffekt ist positiv, dass eine anerkannte ISMS-Zertifizierung außerdem als belastbarer Nachweis gegenüber Versicherern und Behörden verwendet werden kann.
Harte Bandagen
Insbesondere für die Durchsetzung wurde auf zahlreiche Instrumente gesetzt. Unter anderem gibt es neben Geldbußen die Option der Anforderung von Informationen, verpflichtet es die Einrichtung zu Sicherheitsscans, bietet die Möglichkeit von unangemeldeten Ad-hoc-Prüfungen und häufigeren Inspektionen. So kann in begründeten Fällen auch die Leitung der Einrichtung abgesetzt werden oder die Veröffentlichung des Vorfalls kann erzwungen werden.
Schon jetzt sind Unternehmen verpflichtet, sich gegen Risiken durch Hackerangriffe zu schützen. Das Aktien- und GmbH-Recht ist klar, denn Vorstand / Geschäftsführung müssen seit jeher mit den üblichen Sorgfaltspflichten arbeiten, auch bei Datenschutz und IT-Sicherheit. Somit sind persönliche Risiken durch mangelnde Sorgfalt dort bereits eingeschlossen. Die Definition und der Nachweis sind aber nicht immer einfach, was den Druck etwas herausnimmt.
Deutlich härter werden kann NIS-2 für das Management, da natürliche Personen für Verstöße gegen ihre Pflichten zur Gewährleistung der Einhaltung dieser Richtlinie haftbar gemacht werden können. Angesichts der Anzahl und des Wachstums der Cyber-Vorfälle ist ein Vorfall nur eine Frage der Zeit, dann zeigen sich die Ergebnisse der Richtlinie bzw. die "Dysfunktion" der Sicherheitsorganisation. Das nimmt die Leitung deutlich stärker in die Pflicht!
Umsetzung wird dauern
Beschwichtigend kann eingewendet werden, dass die Umsetzung der EU-Richtlinie in nationales Gesetz (bis Oktober 2024) aller Erfahrung nach noch dauern wird und sich auch der "Apparat" anpassen muss, die Hauptlast trägt hier sicherlich das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Cyber-Sicherheitsbehörde des Bundes.
Vor allem bleibt abzuwarten, wie die Behörden angesichts eines engen Cybersicherheits-Arbeitsmarktes rein operativ ihre Arbeitsfähigkeit an die deutlich größere Zahl der betroffenen Unternehmen anpassen können, denn unter die Vorgängerregulierung des neuen Gesetzes fielen weit weniger Einrichtungen. Wie wird sich das BSI im gegebenen Zeitahmen bis Oktober 2024 so aufstellen können, um in der Zukunft mit seinen rund 1.400 Mitarbeitern nun bis zu 40.000 Einrichtungen zu begleiten und ggf. kontrollieren können?
Und die o.g. harten Durchsetzungsmaßnahmen werden angesichts der zu erwartenden Umsetzungsschmerzen nicht täglich jeden treffen, ein Restrisiko bleibt dennoch. Vermeintlich hat jede Einrichtung zwar noch einige Monate Zeit bis Oktober 2024. Aber die sind schnell vorbei und es ist nur eine Frage der Zeit, bis die Umsetzung stattfindet und die ersten Vorfälle zu öffentlichkeitswirksamen Strafen führen werden.
Man darf aber auch nicht unterschätzen, dass die Einführung eines ISMS bei den meisten Unternehmen zwischen 6 und 12 Monate dauert. Dies kann zwar mit ISMS-Softwarelösungen deutlich beschleunigt werden, aber mit Vorbereitungen, Schulungen, Investitionen in die Infrastruktur etc. wird in vielen Fällen nicht mehr so viel Zeit dafür zur Verfügung bleiben, wie nötig. Die Allokation von Ressourcen und Budget muss also zeitnah erfolgen. Das Notfallmanagement und die nötigen Berichtsstrukturen aufzubauen, kostet auch Zeit und Geld.
Und die Kapazitäten im Markt der Berater für Informationssicherheit und der akkreditierten Prüforganisationen können nicht ad hoc und unbegrenzt vervielfältigt werden.
[link=https://www.opexaadvisory.de/nis2-beratung]Konkreter Handlungsbedarf
[/link]
Was wird nun konkret benötigt für die Umsetzung der Richtlinie? Zu empfehlen ist der Aufbau eines ISMS und eines Notfallmanagements , neben der Organisation sind technische Maßnahmen zu ergreifen und der Aufbau einer Berichtsorganisation muss erfolgen. Besonders wichtig ist das Etablieren einer Sicherheitskultur, um im gelebten Tagesgeschäft eine möglichst reibungslose und kostengünstige Anwendung der o.g. Systeme zu sichern und die Nachweisbarkeit herzustellen. Damit sinken die Risiken, bei unangekündigten Prüfungen ist die Organisation vorbereitet und im Notfall ist man gut gerüstet, um Attacken abzuwehren bzw. zumindest deren Folgen zu reduzieren.
Fazit
Ein "mehr" an Informationssicherheit ist dringend erforderlich, die Täter kennen keine Grenzen, die Verschärfung in dieser Breite ist höchst sinnvoll, um das Niveau der Informationssicherheit in der ganzen EU zu verbessern.
Aber angesichts der Anzahl der betroffenen Einrichtungen und dem relativ kurzen Zeitraum in einem engen Arbeitsmarkt wird die Umsetzung auf allen Ebenen sportlich. Nicht zu vergessen: Es gibt Unternehmen, die teils noch Altlasten aus der Corona-Zeit tragen oder Inflation und Energiepreissteigerungen bewältigen müssen. Kostensteigerungen auf Basis der gesetzlichen Pflichten - so sinnvoll dieses Gesetz auch ist - können diese hart treffen.
Wer aber früh anfängt (oder schon angefangen hat), kann seinen personellen Aufwand und die Investition besser verteilen, ist früher besser geschützt und kann den gesetzlichen Auflagen entspannt entgegensehen.
Firmenkontakt:
Opexa Advisory GmbH
Franz-Joseph-Straße 11
80801 München
Deutschland
+4915792487716
http://www.opexaadvisory.de
Pressekontakt:
Opexa Advisory GmbH
Franz-Joseph-Straße 11
80801 München
+4915792487716
http://www.opexaadvisory.de
Diese Pressemitteilung wurde über PR-Gateway veröffentlicht.
Für den Inhalt der Pressemeldung/News ist allein der Verfasser verantwortlich. Newsfenster.de distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.
Weitere Artikel von Opexa Advisory GmbH
29.07.2024 | Opexa Advisory GmbH
NIS-2 im KMU: Wirtschaftlich umsetzen und sicher bleiben
NIS-2 im KMU: Wirtschaftlich umsetzen und sicher bleiben
02.04.2024 | Opexa Advisory GmbH
Cyber-Sicherheitskongress des BVMW in Mainz-Bingen am 18.04
Cyber-Sicherheitskongress des BVMW in Mainz-Bingen am 18.04
20.11.2023 | Opexa Advisory GmbH
DORA: Die IT-Risiken sind im Fokus der Aufsicht
DORA: Die IT-Risiken sind im Fokus der Aufsicht
19.09.2023 | Opexa Advisory GmbH
Informationssicherheits-Beratung: Schützen Sie Ihre Firma
Informationssicherheits-Beratung: Schützen Sie Ihre Firma
17.08.2023 | Opexa Advisory GmbH
Cyberattacken im Gesundheitswesen: Risiken vermeiden!
Cyberattacken im Gesundheitswesen: Risiken vermeiden!
Weitere Artikel in dieser Kategorie
22.11.2024 | Aryaka
Aryaka-Umfrage: Fertigungsunternehmen reagieren nur langsam auf Sicherheitsbedrohungen im Netz
Aryaka-Umfrage: Fertigungsunternehmen reagieren nur langsam auf Sicherheitsbedrohungen im Netz
22.11.2024 | H zwo B Kommunikations GmbH
Die Pole Position im Blick: STARFACE Incentive auf dem Nürburgring
Die Pole Position im Blick: STARFACE Incentive auf dem Nürburgring
21.11.2024 | yellow house GmbH
Bisalina Speedruns powered by REWE
Bisalina Speedruns powered by REWE
21.11.2024 | Netceed
ESG: Dekarbonisierung im Fokus der Netceed Nachhaltigkeitsstrategie
ESG: Dekarbonisierung im Fokus der Netceed Nachhaltigkeitsstrategie
20.11.2024 | Caseking GmbH
noblechairs DAWN - Eine neue Ära des Komforts bricht an
noblechairs DAWN - Eine neue Ära des Komforts bricht an