Sie sind hier: Home » Markt » Hintergrund

Compliance-Auflagen im KRITIS-Bereich


NIS-2 setzt Unternehmen unter Druck: Abwarten? Funktioniert nicht!
NIS-2-Richtlinie: Behörden können bei Nichteinhaltung der Empfehlungen zum Risikomanagement analog zur DSGVO erhebliche Geldstrafen verhängen



Von Bernhard Kretschmer, Vice President Services und Cybersecurity bei NTT Ltd.

Deutsche Unternehmen stehen massiv unter Druck: Der Gesetzgeber verschärft Stück für Stück die Sicherheits- und Compliance-Auflagen, etwa im KRITIS-Bereich mit § 8a Absatz 1a BSIG. Dieser verpflichtet die betroffenen Organisationen, adäquate Systeme zur Angriffserkennung bis spätestens Mai 2023 umzusetzen. Und ein Ende ist nicht in Sicht – denn mit NIS-2 steht eine Richtlinie vor der Tür, die für etliche Unternehmen Konsequenzen haben wird, derer sie sich vermutlich nicht einmal annähernd bewusst sind.

Fakt ist, viele Firmen setzen nur symbolische Maßnahmen im Bereich der Cybersicherheit um und nur wenige überprüfen regelmäßig die Wirksamkeit dieser Lösungen. Angesichts der zunehmenden Abhängigkeit von funktionierenden IT-Umgebungen und der Tatsache, dass die Kriminellen immer raffinierter vorgehen, ist ein geringes Schutzniveau jedoch geradezu fahrlässig.

Eben diese Laissez-faire-Haltung in der Abwehr von Hackerangriffen, die verstärkt durch die Corona-Pandemie und den Ukraine-Krieg die Diskussion über die europäische Sicherheitsstrategie bestimmt, will die EU-Kommission mit der Neufassung der NIS-Richtlinie eindämmen. Es sollen EU-weite Standards für Cybersecurity definiert werden, die nun auch die Industrie verpflichtend umsetzen muss. Dadurch soll die gesamte Infrastruktur resilienter werden. So werden Unternehmen nicht mehr vor die Wahl gestellt – nein, sie müssen einen Mindeststandard an Sicherheit erfüllen.

Und diese Pflicht trifft künftig viel mehr Firmen als bisher. Einerseits hat die EU die Richtlinie auf zahlreiche weitere Branchen mit Versorgungsfunktionen ausgeweitet. Die Vorgaben schließen künftig etwa Anbieter öffentlicher elektronischer Kommunikationsdienste und digitaler Dienste, die Abwasser- und Abfallwirtschaft, Hersteller kritischer Produkte, Post- und Kurierdienste und die öffentliche Verwaltung sowohl auf zentraler als auch regionaler Ebene ein, wobei die Kommission zwischen Marktteilnehmern mit einer entscheidenden und mit einer essenziellen Bedeutung für Wirtschaft und Gesellschaft unterscheidet. Ferner können die Mitgliedstaaten beschließen, dass sie auch für einschlägige Stellen auf kommunaler Ebene gelten. Außerdem werden nun auch Betriebe mit über 250 Mitarbeitern und über zehn Millionen Jahresumsatz als schützenswert eingestuft und müssen künftig Cybersicherheitsstandards wie Audits, Risikoabschätzungen, das zeitnahe Einspielen von Sicherheitsupdates und Zertifizierungen beachten.

Die Umsetzung von NIS-2 stellt die Industrie jedenfalls vor zahlreiche Herausforderungen. Ein Beispiel sind die Meldefristen: Innerhalb von 24 Stunden nach Kenntnisnahme des Sicherheitsvorfalls muss eine erste Meldung als Frühwarnung bei den zuständigen Behörden eingehen. In dieser wird angegeben, ob der Sicherheitsvorfall vermutlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist. Innerhalb von 72 Stunden muss dann ein weiterer Bericht ausgehändigt werden, der die sogenannten Indicators of Compromise beschreibt und der ohne dediziertes Security-Know-how zu einer fast unlösbaren Aufgabe wird.

Spätestens einen Monat nach dem Vorfall ist schließlich noch ein Abschlussbericht fällig, der mindestens eine ausführliche Beschreibung des Sicherheitsvorfalls, seines Schweregrads und seiner Auswirkungen sowie Angaben zur Art der Bedrohung und den getroffenen Abhilfemaßnahmen beinhalten muss. Wer schon einmal ein Unternehmen direkt nach einer Hackerattacke erlebt hat, weiß, wie groß einerseits das Chaos ist und wie knapp andererseits Ressourcen und Zeit sind. Vor allem im Mittelstand ist davon auszugehen, dass die Expertise für die Umsetzung der Richtlinie im Haus nicht vorhanden ist.

Viel Zeit zum Umsetzen bleibt übrigens nicht. Die Verhandlungen sind seit Mai 2022 abgeschlossen, jetzt muss das EU-Parlament den Entwurf mit einem Mehrheitsvotum absegnen, was als reine Formalität gilt und bis Ende des Jahres über die Bühne gehen sollte. Sobald das passiert ist, haben die EU-Mitgliedsstaaten 21 Monate Zeit, die Richtlinie umzusetzen. Wenn man bedenkt, dass manche Hardwarekomponenten derzeit eine Lieferfrist von bis zu eineinhalb Jahren haben, ist der Zeitrahmen, um ein adäquates Sicherheitspaket zu schnüren, mehr als knapp bemessen.

Trotzdem: Eine schlechte oder gar nicht vorhandene Security-Lösung kostet am Ende deutlich mehr als eine gute. Den Mehrwert sehen viele leider erst, wenn sie tatsächlich angegriffen wurden und Produktionsausfälle zu finanziellen Schäden führen. Jedes Unternehmen tut also gut daran, seine Schutzmaßnahmen zu überdenken.

Die NIS-2-Richtlinie verschärft sowieso die Ausgangslage – die Behörden können bei Nichteinhaltung der Empfehlungen zum Risikomanagement analog zur DSGVO erhebliche Geldstrafen verhängen. Nach derzeitigem Kenntnisstand müssen Betreiber entscheidender Dienste mit Geldbußen in Höhe von 2 Prozent des Jahresumsatzes rechnen, Anbieter essentieller Services mit 1,4 Prozent. Hinzu kommt: Die Unternehmensführung wird für etwaige Verstöße in Verantwortung genommen und ist damit haftbar. (NTT: ra)

eingetragen: 27.09.22
Newsletterlauf: 29.11.22

Fico: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hintergrund

  • Wird KI den Finanzberater ersetzen?

    Die Zeiten, in denen Finanzdienstleister in Deutschland künstlicher Intelligenz nur zaghaft begegneten, sind vorbei. Banken, Vermögensverwalter und Asset Manager haben KI eindeutig als eine der strategisch wichtigsten Technologien für die Branche erkannt. Allerdings ist es für viele Akteure nach wie vor schwierig, diese effektiv umzusetzen.

  • Absichern entlang der Lieferkette

    Das Lieferkettensorgfaltspflichtengesetz (LkSG) sieht für die betroffenen Unternehmen vor, "menschenrechtliche und umweltbezogene Sorgfaltspflichten in angemessener Weise zu beachten" (§ 3 Abs. 1 Satz 1 LkSG). Vom Gesetzestext selbst könnten sich viele Unternehmen jedoch erst einmal unbeeindruckt fühlen.

  • Besonders besorgniserregende Stoffe

    Die ECHA hat zwei neue Chemikalien in die Liste der SVHCS (besonders besorgniserregende Stoffe) aufgenommen. Eine davon ist fortpflanzungsgefährdend, die andere hat sehr persistente und stark bioakkumulierbare gefährliche Eigenschaften.

  • KI für modernes Vertragsmanagement

    Laut des neuen "Digital Maturity Report" von DocuSign sind 78 Prozent der europäischen Führungskräfte von ihren aktuellen digitalen Prozessen frustriert. KI-gestützte Tools könnten Abhilfe schaffen und die Produktivität steigern. Anlässlich des "Artificial Intelligence Appreciation Day" stellte DocuSign fünf Trends vor, wie KI den Vertragsprozess revolutioniert:

  • Erhöhung der Cybersicherheit in Europa

    Das verarbeitende Gewerbe ist ein entscheidender Teil der europäischen Wirtschaft und umfasst viele Bereiche von der kleinen Produktion bis hin zu groß angelegten industriellen Prozessen. Mit zunehmender Digitalisierung und Vernetzung ist der Sektor mit immer größeren Cybersicherheitsrisiken konfrontiert, die schwerwiegende Folgen für die öffentliche Gesundheit und Sicherheit haben könnten.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen