Handelsblatt App
Jetzt 4 Wochen für 1 €
Alle Inhalte in einer App
Ob Energieversorger, Onlinemarktplätze, Konzerne oder Mittelständler: Unternehmen müssen auf Geheiß der EU mehr für Cybersicherheit tun. Die Frist ist knapp.
EU-Kommission
Ein Gesetzespaket der Europäischen Union ist in Kraft getreten, das Organisationen in verschiedenen Branchen zum Schutz gegen Cyberangriffe verpflichtet.
Bild: imago/Panthermedia
Düsseldorf In vielen Unternehmen ist IT-Sicherheit bislang keine Chefsache. Das dürfte sich in den nächsten Monaten ändern: Am heutigen Montag ist ein Gesetzespaket der Europäischen Union (EU) in Kraft getreten, das Organisationen in verschiedenen Branchen zu einem stringenten Schutz gegen Cyberangriffe verpflichtet – und dabei ausdrücklich das Management einbezieht.
So sinnvoll das ist: Die Richtlinie „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau“ (kurz: NIS 2) könnte die deutsche Wirtschaft vor große Probleme stellen. So sind die Anforderungen erheblich. Wer sich damit noch nicht beschäftigt hat, dürfte es schwer haben, die Vorgaben bis Herbst 2024 einzuhalten.
Zudem gilt die Richtlinie nicht allein für Betreiber kritischer Infrastrukturen, sondern für Organisationen aller Art und Größe. „Der Knackpunkt: Derzeit wissen wahrscheinlich 80 Prozent der Unternehmen nicht, dass sie von NIS 2 betroffen sind“, sagt Timo Kob, Gründer und Vorstand von Hisolutions, einer Beratung für IT-Sicherheit. Der IT-Sicherheitsexperte schätzt, dass die Regulierung für zusätzlich 40.000 deutsche Firmen gelten könnte.
Welche Unternehmen sich mit der Richtlinie beschäftigen sollten und welche Aufgaben sie jetzt haben: ein Überblick.
Die digitale Infrastruktur sei zentraler Bestandteil „des Alltags und für den grenzüberschreitenden Austausch“ geworden, begründet die EU ihre Initiative. Cybersicherheit sei daher „wichtiger denn je für das reibungslose Funktionieren des Binnenmarkts“. Störungen könnten „die Ausübung wirtschaftlicher Tätigkeiten beeinträchtigen“ und „der Wirtschaft und Gesellschaft der Union großen Schaden zufügen“.
Eine erste europaweite „Richtlinie über die Sicherheit von Netz- und Informationssystemen“ gilt bereits seit 2016. Sie verpflichtet primär die Betreiber kritischer Infrastrukturen zu Schutzmaßnahmen gegen Cyberangriffe, also Organisationen und Unternehmen, die wichtig für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen und der Sicherheit sind.
Angesichts der wachsenden Bedrohung hat die EU Ende 2022 das neue Gesetzespaket beschlossen, das über die bisherigen Regelungen hinausgeht – und auch über das deutsche IT-Sicherheitsgesetz 2.0.
Es ist nicht die einzige Initiative aus Brüssel: Parallel führt die EU den „Cyber Resilience Act“ ein, der Vorgaben für die Gestaltung von Produkten „mit digitalen Elementen“ wie Hard- und Software macht. „Die EU will Cybersicherheit möglichst breitenwirksam gestalten“, sagt Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht in Bremen – angesichts der globalen Bedrohungslage sei das auch sinnvoll.
Besonders strenge Vorgaben gelten für „Sektoren mit hoher Kritikalität“, wie es in der Richtlinie heißt. Dazu zählen Energieversorger, Verkehrsunternehmen wie Fluggesellschaften und Bahnbetreiber, Internet- und Cloud-Anbieter, Banken, Gesundheitsdienstleister sowie Organisationen aus dem Bereich Weltraum, außerdem die öffentliche Verwaltung (hier die vollständige Liste).
Braunkohlekraftwerk
Für Energieversorger und Autozulieferer galten bisher schon strengere IT-Sicherheitsregeln. Nun kommen viele weitere Branchen hinzu.
Bild: IMAGO/Marc John
Die EU-Richtlinie sieht für „sonstige kritische Sektoren“ ebenfalls Auflagen vor – und das sind viele Branchen: Post- und Kurierdienste ebenso wie die Abfallwirtschaft, die Chemieindustrie ebenso wie die Lebensmittelproduktion, Hersteller von „Datenverarbeitungsgeräten“ ebenso wie die Autoindustrie, zudem digitale Dienste wie Onlinemarktplätze und Suchmaschinen (hier die komplette Übersicht).
>> Lesen Sie hier: Diese Cybersecurity-Jobs versprechen mit das beste Gehalt
Ebenfalls ein Novum: Die Richtlinie schließt Unternehmen mit mindestens 50 Mitarbeitern und zehn Millionen Euro Umsatz ein. „NIS 2 geht alle an, vom Mittelstand bis zum Dax 40“, betonte daher Iris Plöger, die beim Bundesverband der Deutschen Industrie (BDI) das Thema Digitalisierung verantwortet, im November auf der Handelsblatt-Tagung Cybersecurity. In der deutschen Industrie werde „eine Vielzahl der Unternehmen“ die Anforderungen erfüllen müssen.
Die genaue Ausgestaltung ist indes offen: Die Mitgliedstaaten müssen konkretisieren, welche Einrichtungen wesentlich oder wichtig sind.
Die wohl zentrale Anforderung: IT-Sicherheit wird zum Teil der Unternehmenssteuerung. Organisationen müssen ein Risikomanagement und Notfallpläne einführen. Auch ein System für die zügige Meldung von Vorfällen an die Aufsichtsbehörden wird künftig verpflichtend.
Ein großes, weil komplexes Thema ist die Absicherung der Lieferketten. Immer wieder dringen Kriminelle und Spione über Zulieferer in die Systeme anderer Unternehmen ein – beispielsweise über IT-Dienstleister wie Kaseya und Solarwinds. Auch hier müssen Unternehmen ein Schutzkonzept entwickeln.
Die meisten Häuser haben nicht die Kompetenz, die Maßnahmen selbst umzusetzen – und Berater sind nicht im ausreichenden Maß vorhanden. Timo Kob, Gründer und Vorstand von Hisolutions
Hinzu kommt ein Katalog an technischen Maßnahmen, die künftig verpflichtend sind, in der Richtlinie ist die Rede von „Cyberhygiene“. Dazu zählen beispielweise die systematische Datensicherung, Konzepte für die Zugriffskontrolle, das Management von Schwachstellen, die Verschlüsselung von Informationen sowie die Schulung der Mitarbeiter.
Schon jetzt sind Unternehmen verpflichtet, sich gegen Risiken durch Hackerangriffe zu schützen, das sehen Aktien- und GmbH-Recht vor. „Vorstand oder Geschäftsführung müssen seit jeher mit den üblichen Sorgfaltspflichten arbeiten, auch bei Datenschutz und IT-Sicherheit“, sagt Jurist Kipker.
Mit der neuen Richtlinie wächst allerdings der Druck, das auch systematisch zu tun: Bei Verstößen drohen Einrichtungen „mit hoher Kritikalität“ Strafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes, anderen Firmen von bis zu sieben Millionen Euro oder 1,4 Prozent des Erlöses.
„Die EU überträgt das Modell aus dem Datenschutz auf die Cybersicherheit“, sagt Kipker – die Datenschutz-Grundverordnung ermöglicht ebenfalls Strafen in Millionenhöhe. Die Folge: „Durch die hohen Bußen müssen Unternehmen Cybersicherheit als eigenständiges Thema betreiben, nicht nur als Anhängsel von Compliance oder Datenschutz.“
Unternehmen, die bereits jetzt unter die Regulierung für IT-Sicherheit fallen, dürfte die Umsetzung der NIS-2-Richtlinie nach Einschätzung von Experten nicht allzu schwerfallen. Das gilt für Energieversorger ebenso wie für Autozulieferer, die auf Druck der großen Hersteller die branchenspezifische Zertifizierung Tisax benötigen.
Aber: „Die ganzen Maßnahmen, die bislang nur für die großen Unternehmen verpflichtend sind, müssen nun sehr viel mehr Häuser einführen“, sagt Hisolutions-Vorstand Kob. „Das ist zwar sinnvoll, um das Niveau der IT-Sicherheit zu verbessern, aber in diesem kurzen Zeitraum kaum zu bewältigen.“
>> Lesen Sie hier: Vier Lehren aus dem Hackerangriff auf Continental
So könne es bei einem Mittelständler mit 500 oder 1000 Mitarbeitern ein ganzes Jahr dauern, ein Managementsystem für IT-Sicherheit zu etablieren: „So ein Prozess ist sehr zäh.“
Kob befürchtet einen Engpass. „Die meisten Häuser haben nicht die Kompetenz, die Maßnahmen selbst umzusetzen – und Berater sind nicht im ausreichenden Maß vorhanden.“
Dass Tausende Firmen bis Herbst 2024 die komplexen Systeme einführen können, hält der Experte für unrealistisch. „21 Monate reichen für die Umsetzung von NIS 2 nicht, das Scheitern ist vorprogrammiert“, warnt Kob.
Die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umsetzen. Das Bundesinnenministerium (BMI) will in der ersten Hälfte dieses Jahres einen Referentenentwurf vorlegen und die Vorgaben „im Wesentlichen durch Änderungen im BSI-Gesetz“ umsetzen. Es dürften zudem Änderungen am IT-Sicherheitsgesetz 2.0 erforderlich sein, das 2021 in Kraft getreten ist.
„Ich bin skeptisch, ob es der Bundesregierung gelingt, die Richtlinie bis Ende 2024 umzusetzen“, sagt Jurist Kipker. Im Koalitionsvertrag habe sich das Dreierbündnis viele Digitalprojekte vorgenommen, die es zeitgleich anzugehen gelte. Zudem sei die Regulierung der IT-Sicherheit komplex – etwa weil es schon ein deutsches Gesetz gibt.
Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.
Auf tippen, dann „Zum Startbildschirm“ hinzufügen.
×