Drei Fragen, drei Antworten: Schreckgespenst NIS2
Die NIS2-Richtlinie soll die Cybersicherheit in der EU verbessern. Wir erklären, wer betroffen ist und was auf die Betroffenen zukommt.
Mit der Umsetzung der NIS2-Richtlinie in deutsches Recht kommen dieses Jahr auf zahlreiche Unternehmen neue Pflichten in Sachen IT-Sicherheit zu. Eine wichtige Änderung ist, dass jetzt die Geschäftsleitung für Schäden für Sicherheitslücken haftet. Ulrich Plate, Leiter der Kompetenzgruppe Kritische Infrastruktur des eco und Titelautor der neuen iX 3/2024, erklärt, was auf Unternehmen zukommt.
Ist NIS2 ein bürokratisches Schreckgespenst oder die Chance, IT-Security wirklich zu erzwingen?
Der bürokratische Aufwand wird gar nicht so groß sein. Der Gesetzgeber muss aufpassen, dass es zwischen Behörden wie BBK, BSI, BNetzA oder BaFin nicht zu einer Doppelt- oder Dreifachaufsicht kommt. Aber im Grunde können sich gerade die IT-Abteilungen über die Regulierung freuen, weil ihre Geschäftsleitungen damit gesetzlich ermuntert werden, der Informationssicherheit den angemessenen Stellenwert zu geben – und die entsprechenden Budgets dafür bereitzustellen.
Wen betreffen die neuen Regulierungen denn – und wen nicht?
Man muss sehr vorsichtig sein, eine mögliche Betroffenheit durch NIS2 auf den Kreis der unmittelbar Verpflichteten zu beschränken. Die sind noch relativ leicht zu ermitteln, auch wenn es sich um zehntausende Unternehmen handelt, die jetzt neu von der Regulierung erfasst werden. Aber: Wer zur Lieferkette einer der direkt betroffenen Einrichtungen gehört, wird künftig denselben Anforderungen genügen müssen, denen das Risikomanagement seiner Auftraggeber unterliegt. Und das heißt vermehrt Lieferantenaudits, Standard-Security-Klauseln für Vertragspartner und die Bereitschaft zu Dokumentation und Nachweisen der eigenen Sicherheitsmaßnahmen.
Manche der Anforderungen klingen abstrakt, andere wie die zur MFA konkret. Ist es vor allem das Management oder die IT, die jetzt handeln muss?
Konkrete Vorschriften gab es vereinzelt schon vorher, zum Beispiel der Einsatz von Systemen zur Angriffserkennung in der Energiewirtschaft und andere KRITIS-Sektoren. Der Maßnahmenkatalog der NIS2 ist auch gar nicht so abstrakt, wie er vielleicht wirkt – vieles davon hat unmittelbare Auswirkungen, selbst der etwas kuriose Begriff der "Cyberhygiene" stellt letztendlich klare Anforderungen. Entscheidend ist, dass für die Billigung und Umsetzung aller geforderten Maßnahmen nicht die IT verantworltich gemacht wird, sondern die Leitungsorgane des Unternehmens, die persönlich für die wirtschaftlichen Folgen haften, wenn sie ihre Pflichten verletzen.
Herr Plate, vielen Dank für die Antworten.
Umfassende Informationen zu der neuen EU-Regelung für mehr Cybersicherheit finden Sie in der Titelgeschichte der neuen iX 3/2024: In Cybersicherheit: Was Unternehmen über die NIS2-Richtlinie wissen müssen, erklärt Ulrich Plate im Detail, welche neuen Pflichten auf die betroffenen Unternehmen zukommen. KRITIS-Experte Manuel Atug lobt in seinem Kommentar zum NIS2-Gesetz: Jetzt haftet endlich der Chef für Cybersicherheit NIS2 als Schritt in die richtige Richtung – und kritisiert, dass der Gesetzgeber mit vielen Ausnahmen Potenzial verschenkt. DORA: Neue Regulierung für mehr Resilienz in der Finanzbranche erläutert die Regelungen des Digital Operational Resilience Act, der ab Januar 2025 strenge Vorgaben für die IT-Sicherheit bei Banken, Versicherungen, Zahlungsdienstleistern, Ratingagenturen und Kryptodienstleistern macht. iX 3/2024 ist ab sofort im heise Shop und am Kiosk erhältlich.
In der Serie "Drei Fragen, drei Antworten" bringt iX die heutigen Herausforderungen der IT auf den Punkt. Haben Sie Anregungen aus Ihrer tagtäglichen Praxis oder der Ihrer Nutzer? Wessen Tipps zu welchem Thema würden Sie gerne kurz und knackig lesen? Dann schreiben Sie mir gerne oder hinterlassen Sie einen Kommentar im Forum.
(odi)
