NIS-2-Richtlinie : NIS-2: Vorbei an unternehmerischer Realität?

Seit Beginn des Ukrainekriegs sind die Bedenken hinsichtlich der Verwundbarkeit Kritischer Infrastruktur in den Fokus von Politik und Öffentlichkeit gerückt. Digitale Angriffe auf Dammanlagen, Stromversorger und Atomkraftwerke sind in Anbetracht der Ausstattung und Macht offensiver staatlicher Akteure auch in der EU denkbar. 

Bereits die Vorkriegslage bewies: Hochkomplexe, invasive Cyberangriffe können schwerwiegende Auswirkungen auf die nationale Sicherheit haben. So zeigte etwa der Triton-Vorfall in Saudi-Arabien im Jahr 2017, wie verletzlich Infrastrukturziele in technologisch hochentwickelten Staaten sein können. Bei der Attacke schleusten vermutlich staatlich unterstützte Hacker Malware in das System eines Kraftwerks ein, das auf industrielle Steuerungssysteme abzielt, insbesondere auf Sicherheitssysteme von Industrieanlagen, einschließlich Atomkraftwerken. Das Ziel war scheinbar, einen möglicherweise katastrophalen Notfall in einer petrochemischen Anlage herbeizuführen und implementierte Sicherheitsmaßnahmen zu umgehen. Durch einen Fehler der Angreifer wurde der Plan vereitelt.

Der Fall illustriert, welcher Gefahr Betreiber Kritischer Infrastrukturen ausgesetzt sein können. Auch in deutschen und europäischen Anlagen finden sich mögliche Einfallstore für Angreifer. Um ein erfolgreiches Angriffsszenario mit schwerwiegenden Folgen zu verhindern, wird auf EU-Ebene schon seit geraumer Zeit über die Stärkung der Infrastruktursicherheit diskutiert.

NIS-2 und wirtschaftliche Realitäten – ein Widerspruch?

Die Bemühungen zur Stärkung der Cyberresilienz gipfelten im Dezember 2022 in der Veröffentlichung der Network and Information Security 2 (NIS-2), einer überarbeiteten Version ihrer wesentlich weniger strikten Vorgängerin, der NIS-1-Richtlinie. Die NIS-2 legt ab 2024 für eine weitaus größere Anzahl von Unternehmen und -organisationen strengste Auflagen in Bezug auf Informationssicherheit fest und fordert zudem eine enge Zusammenarbeit und Überwachung der Cybersicherheit zwischen den Mitgliedstaaten ein. Das Ziel ist es, von der Richtlinie erfasste Unternehmen, Organisationen und Behörden widerstandsfähig zu machen und die europäische Gesellschaft in ihrem Alltag zu schützen (Tagesspiegel Background berichtete).

Neu sind hierbei die sogenannten „wichtigen Einrichtungen“, welche die Liste der Kritischen Infrastruktur erweitern. Somit sind auch Unternehmen wie etwa digitale Marktplätze oder die Lebensmittelindustrie von der NIS-2-Richtlinie betroffen.

Wie bei vielen anderen Compliance-Entwicklungen stehen die Forderungen der Politik im Konflikt mit der wirtschaftlichen Realität der Unternehmen. In den vergangenen drei Jahren haben Unternehmen weltweit mit erheblichen wirtschaftlichen Herausforderungen, wie der COVID-19-Pandemie, Belastungen der Lieferketten und der Energiekrise zu kämpfen gehabt. Angesichts dieser Erschwernisse erscheinen die Forderungen, möglicherweise teure Investitionen in Informationssicherheit zu tätigen und Geschäftsführer für Informationssicherheitsvorfälle perspektivisch alleinig haftbar zu machen, fast schon realitätsverweigernd.

Im Oktober 2024 wird Deutschland die europäische NIS-2-Richtlinie in nationales Recht umsetzen müssen, Rechnungen zufolge werden hierzulande knapp 29.000 Unternehmen betroffen sein. Wie geht die deutsche Wirtschaft mit den hehren Zielen der EU um? Großkonzerne mit starken Compliance-Abteilungen setzen sich schon seit einiger Zeit mit der NIS-2 auseinander und prüfen ihre Informationssicherheit für den Stichtag auf Herz und Nieren. Im Mittelstand sind sich jedoch ein Großteil der Unternehmen gar nicht darüber im Klaren, dass sie in den Anwendungsbereich der Richtlinie fallen werden.

Unwissenheit im Mittelstand

Ähnlich wie bei der Einführung der Datenschutzgrundverordnung herrscht eine große Unsicherheit und Unwissenheit über die kommenden Anforderungen. Fakt ist: Einer der wichtigsten Pfeiler zur Umsetzung der NIS-2 ist der Aufbau eines robusten, auditfähigen Informationssicherheitsmanagementsystems. Informationssicherheitsmanagementsysteme schaffen eine umfassende Sicherheitsstruktur für Unternehmen, Betriebe und Organisationen. Die vielschichtige und komplexe Natur dieser Systeme berücksichtigt sowohl technische als auch menschliche Sicherheitsaspekte und kann den entscheidenden Unterschied bei Cyberangriffen ausmachen.

Vielen Unternehmen ist jetzt schon klar: Ohne Investitionen in schnellere, günstigere Prozesse kann die Vielzahl von Compliance-Anforderungen kaum bewältigt werden. Gibt es angesichts der Härte der Richtlinie überhaupt eine gute Nachricht für die Wirtschaft?

Die gibt es: Unternehmen profitieren bei einer adäquaten Umsetzung der neuen Richtlinie von einem exzellenten Schutz auf menschlicher, technischer und finanzieller Ebene. Eine robuste Informationssicherheit dient als präventives Schutzschild gegen flächendeckende infrastrukturelle Ausfälle und unversicherbare wirtschaftliche Schäden. Die NIS-2 ist somit ein durchaus richtiger und wichtiger Schritt zur Stärkung der Cyberresilienz der EU. Gleichzeitig ist sie angesichts der wirtschaftlichen und unternehmerischen Stimmungslage auch eine der größten Compliance-Herausforderungen der vergangenen Jahre – und wird noch viel Wirbel verursachen.

Sven Moritz ist CEO von Secjur, einer Plattform für Compliance-Automatisierung gemäß EU-Standards.