Seit 2016 bemüht sich die EU um eine Vereinheitlichung der rechtlichen Standards und Vorgaben für die Cybersicherheit. Mit der Verabschiedung der Richtlinie zur Netzwerk- und Informationssicherheit, kurz NIS-2, finden diese Anstrengungen ihren vorläufigen Kulminationspunkt. Ziel ist eine Angleichung des Niveaus bei der Cybersicherheit, sowohl länder- als auch sektorübergreifend. Die Direktive ist so vielversprechend, dass selbst Staaten außerhalb der EU an einer Adaption in ihren jeweiligen Rechtsrahmen arbeiten. Das Ziel ist klar: Die Harmonisierung des Rechts durch NIS-2 soll einerseits für Einheitlichkeit und Transparenz sorgen, ist jedoch andererseits auch eine Reaktion auf bislang ausgebliebene Regelungen.
Denn trotz des Booms der Cybersicherheit – spätestens seit der massiven Verbreitung der Malware „Wannacry“ – hat sich noch nicht der Effekt eingestellt, den sich die Politik:innen erhofft hatte. Statt abgesicherter Kritischer Infrastruktur und stabilen Lieferketten durch eine stärkere Digitalisierung der Sektoren und beteiligten Organisationen stellte sich das Gegenteil ein. Den Ergebnissen der aktuellen Bitkom-Studie zufolge verursachen Cyberattacken allein in Deutschland in diesem Jahr Kosten von 206 Milliarden Euro – damit wird der Schaden zum dritten Mal in Folge die 200-Milliarden-Euro-Marke überschreiten.
Eine weitere Studie aus dem vergangenen Jahr zeigt auf, dass deutsche Unternehmen und Organisationen 7,8 Milliarden Euro in die IT-Sicherheit investieren wollen, bis 2025 soll die Marke von 10 Mrd. Euro erreicht werden. Diese Ausgaben erscheinen angesichts weiter zunehmender Attacken vergleichsweise niedrig angesetzt, zumal laut der Bitkom-Umfrage immerhin 75 Prozent der Unternehmen in den vergangenen zwölf Monaten von Cyberangriffen betroffen waren.
Regulierung wird nicht ausreichen
Vor diesem Hintergrund ist selbstverständlich jede weitere Regulierungsinitiative zunächst einmal zu begrüßen. Die Erwartung darf dabei aber nicht sein, dass sich Cyberangriffe durch Vorschriften per se verhindern lassen. Stattdessen ist es technologischer Vorsprung, im Zusammenspiel mit gut ausgebildeten und engagierten Fachkräften, einer soliden Sicherheitskultur und zuverlässigen Software-Lieferketten, der entscheidend für die Zukunft des digitalen Standorts Europas und damit auch Deutschlands in einer zunehmend unsicheren Welt ist.
Und auch der Wunsch nach effektiveren Strafverfolgungsbehörden, die in den vergangenen Jahren trotzt der schwierigen Umstände immer wieder Erfolge feiern konnten, wird die Anzahl der erfolgreichen Cyberattacken nicht verringern. Weder Strafgebetsordnungen noch rechtliche Vorschriften werden am Ende Verbesserungen bringen. Vielmehr wird der Schlüssel zum Erfolg bei den jeweiligen Geschäftsführungen liegen, indem sie ihre Sicherheitsbeauftragten nachhaltig stärken und mit den nötigen Entscheidungskompetenzen ausstatten. Für Unternehmen gilt es, jetzt zu handeln. Denn betroffene Organisationen sind verpflichtet, die neuen Vorschriften bis spätestens Herbst 2024 zu erfüllen. Tun sie dies nicht, drohen hohe Bußgelder.
Cybersicherheit wird folglich nicht allein durch Gesetze und Regulation erreicht, so zielgerichtet diese auch sein mögen, sondern durch die Vernetzung und Integration der IT-Fachleute am richtigen Ort. Aufklärung über Haftungsrisiken und Beratung hinsichtlich der Risikomanagement-Maßnahmen, die ergriffen werden müssen, sind essenziell, um eine robuste Cyberresilienz zu erreichen – stets im Hinblick auf Zukunfts- und Investitionssicherheit der eingesetzten Lösungen.
Patrick Scholl ist Head of OT bei der Infinigate Group
