Sie sind hier: Home » Markt » Hintergrund

Compliance-Auflagen im KRITIS-Bereich


NIS-2 setzt Unternehmen unter Druck: Abwarten? Funktioniert nicht!
NIS-2-Richtlinie: Behörden können bei Nichteinhaltung der Empfehlungen zum Risikomanagement analog zur DSGVO erhebliche Geldstrafen verhängen



Von Bernhard Kretschmer, Vice President Services und Cybersecurity bei NTT Ltd.

Deutsche Unternehmen stehen massiv unter Druck: Der Gesetzgeber verschärft Stück für Stück die Sicherheits- und Compliance-Auflagen, etwa im KRITIS-Bereich mit § 8a Absatz 1a BSIG. Dieser verpflichtet die betroffenen Organisationen, adäquate Systeme zur Angriffserkennung bis spätestens Mai 2023 umzusetzen. Und ein Ende ist nicht in Sicht – denn mit NIS-2 steht eine Richtlinie vor der Tür, die für etliche Unternehmen Konsequenzen haben wird, derer sie sich vermutlich nicht einmal annähernd bewusst sind.

Fakt ist, viele Firmen setzen nur symbolische Maßnahmen im Bereich der Cybersicherheit um und nur wenige überprüfen regelmäßig die Wirksamkeit dieser Lösungen. Angesichts der zunehmenden Abhängigkeit von funktionierenden IT-Umgebungen und der Tatsache, dass die Kriminellen immer raffinierter vorgehen, ist ein geringes Schutzniveau jedoch geradezu fahrlässig.

Eben diese Laissez-faire-Haltung in der Abwehr von Hackerangriffen, die verstärkt durch die Corona-Pandemie und den Ukraine-Krieg die Diskussion über die europäische Sicherheitsstrategie bestimmt, will die EU-Kommission mit der Neufassung der NIS-Richtlinie eindämmen. Es sollen EU-weite Standards für Cybersecurity definiert werden, die nun auch die Industrie verpflichtend umsetzen muss. Dadurch soll die gesamte Infrastruktur resilienter werden. So werden Unternehmen nicht mehr vor die Wahl gestellt – nein, sie müssen einen Mindeststandard an Sicherheit erfüllen.

Und diese Pflicht trifft künftig viel mehr Firmen als bisher. Einerseits hat die EU die Richtlinie auf zahlreiche weitere Branchen mit Versorgungsfunktionen ausgeweitet. Die Vorgaben schließen künftig etwa Anbieter öffentlicher elektronischer Kommunikationsdienste und digitaler Dienste, die Abwasser- und Abfallwirtschaft, Hersteller kritischer Produkte, Post- und Kurierdienste und die öffentliche Verwaltung sowohl auf zentraler als auch regionaler Ebene ein, wobei die Kommission zwischen Marktteilnehmern mit einer entscheidenden und mit einer essenziellen Bedeutung für Wirtschaft und Gesellschaft unterscheidet. Ferner können die Mitgliedstaaten beschließen, dass sie auch für einschlägige Stellen auf kommunaler Ebene gelten. Außerdem werden nun auch Betriebe mit über 250 Mitarbeitern und über zehn Millionen Jahresumsatz als schützenswert eingestuft und müssen künftig Cybersicherheitsstandards wie Audits, Risikoabschätzungen, das zeitnahe Einspielen von Sicherheitsupdates und Zertifizierungen beachten.

Die Umsetzung von NIS-2 stellt die Industrie jedenfalls vor zahlreiche Herausforderungen. Ein Beispiel sind die Meldefristen: Innerhalb von 24 Stunden nach Kenntnisnahme des Sicherheitsvorfalls muss eine erste Meldung als Frühwarnung bei den zuständigen Behörden eingehen. In dieser wird angegeben, ob der Sicherheitsvorfall vermutlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist. Innerhalb von 72 Stunden muss dann ein weiterer Bericht ausgehändigt werden, der die sogenannten Indicators of Compromise beschreibt und der ohne dediziertes Security-Know-how zu einer fast unlösbaren Aufgabe wird.

Spätestens einen Monat nach dem Vorfall ist schließlich noch ein Abschlussbericht fällig, der mindestens eine ausführliche Beschreibung des Sicherheitsvorfalls, seines Schweregrads und seiner Auswirkungen sowie Angaben zur Art der Bedrohung und den getroffenen Abhilfemaßnahmen beinhalten muss. Wer schon einmal ein Unternehmen direkt nach einer Hackerattacke erlebt hat, weiß, wie groß einerseits das Chaos ist und wie knapp andererseits Ressourcen und Zeit sind. Vor allem im Mittelstand ist davon auszugehen, dass die Expertise für die Umsetzung der Richtlinie im Haus nicht vorhanden ist.

Viel Zeit zum Umsetzen bleibt übrigens nicht. Die Verhandlungen sind seit Mai 2022 abgeschlossen, jetzt muss das EU-Parlament den Entwurf mit einem Mehrheitsvotum absegnen, was als reine Formalität gilt und bis Ende des Jahres über die Bühne gehen sollte. Sobald das passiert ist, haben die EU-Mitgliedsstaaten 21 Monate Zeit, die Richtlinie umzusetzen. Wenn man bedenkt, dass manche Hardwarekomponenten derzeit eine Lieferfrist von bis zu eineinhalb Jahren haben, ist der Zeitrahmen, um ein adäquates Sicherheitspaket zu schnüren, mehr als knapp bemessen.

Trotzdem: Eine schlechte oder gar nicht vorhandene Security-Lösung kostet am Ende deutlich mehr als eine gute. Den Mehrwert sehen viele leider erst, wenn sie tatsächlich angegriffen wurden und Produktionsausfälle zu finanziellen Schäden führen. Jedes Unternehmen tut also gut daran, seine Schutzmaßnahmen zu überdenken.

Die NIS-2-Richtlinie verschärft sowieso die Ausgangslage – die Behörden können bei Nichteinhaltung der Empfehlungen zum Risikomanagement analog zur DSGVO erhebliche Geldstrafen verhängen. Nach derzeitigem Kenntnisstand müssen Betreiber entscheidender Dienste mit Geldbußen in Höhe von 2 Prozent des Jahresumsatzes rechnen, Anbieter essentieller Services mit 1,4 Prozent. Hinzu kommt: Die Unternehmensführung wird für etwaige Verstöße in Verantwortung genommen und ist damit haftbar. (NTT: ra)

eingetragen: 27.09.22
Newsletterlauf: 29.11.22

Fico: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hintergrund

  • Insider-Risiken bleiben relevant

    Die unermüdliche Weiterentwicklung Künstlicher Intelligenz beschleunigt die Evolution bestehender Betrugsszenarien. In unserem Tagesgeschäft - der Betrugsprävention - beobachten wir besonders im E-Commerce neue Herausforderungen, die differenziert betrachtet werden müssen.

  • Leben ohne Digitalzwang

    Menschen, die auf bestimmte Dienstleistungen im Alltag angewiesen sind, haben einen Anspruch darauf, diese auch analog nutzen zu können. Dies ist das Kernergebnis des Rechtsgutachtens, das am 11.12.2024 auf Initiative des Vereins Digitalcourage vom Netzwerk Datenschutzexpertise vorgelegt wurde.

  • DORA am 17. Januar 2025 in Kraft

    Mit Blick auf das Jahr 2025 sticht ein Element bei der Einführung und Weiterentwicklung generativer künstlicher Intelligenz (KI) hervor: die Datensicherheit. Da generative KI-Modelle riesige Datenmengen benötigen, um zu lernen und Inhalte zu generieren, wird die Gewährleistung des Datenschutzes, der Vertraulichkeit und der Integrität dieser Daten von größter Bedeutung sein.

  • Schutz der privaten Sparer

    Seit über 45 Jahren gibt es den Einlagensicherungsfonds der privaten Banken. Seitdem sichert er zuverlässig die Guthaben der Sparerinnen und Sparer ab, falls es zum Entschädigungsfall kommt. Klar ist jedoch, dass selbst ein funktionierendes System regelmäßig auf den Prüfstand gestellt und zur Verbesserung gegebenenfalls angepasst werden muss.

  • Verschiebung der Einreichfrist

    Die Europäischen Aufsichtsbehörden (ESAs) haben eine Verschiebung der Einreichfrist der Informationsregister auf 30. April 2025 bekanntgegeben (Quelle: The ESAs announce timeline to collect information for the designation of critical ICT third-party service providers under the Digital Operational Resilience Act | European Banking Authority). Grund dafür ist u. a. die Verzögerung bei der Finalisierung der technischen Implementierungsstandards (ITS).

USA: Förderung sauberer Energien KI: Die Zukunft im Rückspiegel

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen