NIS-2-Richtlinie : Unternehmen sollten NIS-2 als Chance nutzen

Die Gefahr, Opfer einer Cyberattacke zu werden, steigt auch für Finanzunternehmen enorm. Das hat die aktuelle Studie von KPMG und Lünendonk & Hossenfelder ergeben. Demnach beobachten 84 Prozent der Befragten einen Anstieg der Gefahrenlage. Das haben auch die europäischen Ordnungshüter erkannt und arbeiten fleißig an der Regulatorik. Jüngstes Beispiel: die neue EU-Richtlinie „Network and Information Security 2“ (NIS-2). Sie definiert neue Mindeststandards für die Cybersicherheit. Dazu zählen neben Banken und Versicherungen zum Beispiel auch Asset-Manager und Payment-Dienstleister. Auf diese und alle anderen Finanzunternehmen kommt in den nächsten Monaten viel Arbeit zu. Aber was genau bringt NIS-2 mit sich, worauf müssen sich Unternehmen einstellen – und was ist zu tun?

Eine Richtlinie, drei Handlungsfelder

Anders als ihr Vorgänger definiert die NIS2 genauer, welche Unternehmen zur Kritischen Infrastruktur (Kritis) gehören. Demnach umfasst diese neue Definition europaweit schätzungsweise gut 100.000 zusätzliche Institutionen. Die Bereiche Bankwesen und Finanzmärkte zählen zur relevantesten Kritis-Gruppe. Für sie wurden die Vorschriften in drei wesentlichen Punkten erweitert: Beim Risikomanagement, in puncto Kooperation und Zusammenarbeit und beim Thema Aufsichtsmaßnahmen und Geldbußen.

Die Mindestmaßnahmen zu Cybersecurity im Risikomanagement basieren gemäß Artikel 21 auf einem ganzheitlichen Ansatz, der darauf abzielt, Netzwerk- und Informationssysteme sowie deren physische Umgebung vor Zwischenfällen zu schützen. Darunter fallen folgende Punkte:

• Richtlinien zur Risikoanalyse und Informationssicherheit
• Umgang mit Zwischenfällen, Geschäftskontinuität, einschließlich Backup-Management, Disaster Recovery und Krisenmanagement
• Sicherheit in der Lieferkette, einschließlich Beziehungen zu direkten Lieferanten oder Dienstleistern
• Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzwerk- und Informationssystemen, einschließlich Schwachstellenbehandlung und Offenlegung
• Bewertung der Wirksamkeit von Cybersecurity-Risikomanagementmaßnahmen durch Richtlinien und Verfahren
• Grundlegende Maßnahmen zur Cyberhygiene und Schulungen zur Cybersicherheit
• Richtlinien und Verfahren zur Verwendung von Kryptografie und Verschlüsselung
• Sicherheit des Personalwesens, Zugangskontrolle und Asset Management
• Verwendung von Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierungslösungen, sichere Sprach-, Video- und Textkommunikation sowie gesicherte Notfallkommunikationssysteme innerhalb der Einheit

Auch im Bereich nationaler und internationaler Zusammenarbeit gibt es durch NIS-2 einige Neuerungen. So ist der Aufbau nationaler Computer Security Incident Response Teams (CSIRT) Teil der neuen Maßnahmen. Diese Teams der einzelnen Mitgliedsstaaten sollen zusammenarbeiten, um groß angelegte Cyberangriffe zu bewältigen. Jedes Land muss zudem eine Strategie für die aktive Cyberreaktion formulieren. Es reicht nicht mehr aus, Vorfälle nur zu melden. Sie müssen möglichst verhindert werden.

Empfindlichere Strafen und strengere Aufsicht

Wer diese neuen Vorgaben missachtet, muss mit empfindlichen Strafen rechnen. Statt der 150.000 Euro, die in der ersten NIS-Fassung als Höchststrafe vorgesehen waren, drohen Banken und Finanzdienstleistern Geldbußen in Höhe von zwei Prozent des Jahresumsatzes oder maximal zehn Millionen Euro. Auf der anderen Seite werden die Befugnisse der Aufsichtsbehörden ausgebaut: Sie dürfen Inspektionen vor Ort, regelmäßige und gezielte Sicherheitsaudits sowie Ad-hoc-Überprüfungen und Sicherheitsscans durchführen. Auch in Sachen Haftung ist NIS-2 streng: Die Unternehmensführung trägt die Verantwortung und ist haftbar.

Damit ist endgültig klar, dass Cybersicherheit zur Chefsache werden muss. Ein Blick in die Lünendonk-Studie aber zeigt: Das passiert gerade einmal in vierzehn Prozent der Fälle. In der Regel wird das Thema nicht über die gesamte Organisation hinweg gedacht, sondern ist meist in der IT-Abteilung angesiedelt.

Dabei sind Einfallstore überall. Und durch immer mehr Systeme kommen immer mehr Gefahrenquellen hinzu. Trotzdem ist Cybersicherheit hierzulande eher an der Regulatorik aufgehängt – weniger an der Technologie. Das ist Fluch und Segen zugleich. Segen: Durch die Bank- und Versicherungsaufsichtlichen Anforderungen an die IT (BAIT und VAIT) sowie das IT-Sicherheitsgesetz, das die erste NI-S-Fassung in deutschem Recht abbildet, ist die Finanzwirtschaft bereits stark reguliert.

Fluch: Ein Großteil der Unternehmen ruht sich darauf aus. Neun von zehn Lünendonk-Befragte schätzen ihre Fähigkeiten, Cyberangriffe frühzeitig zu erkennen, hoch ein. Häufig überschätzen sie sich – und wiegen sich damit in falscher Sicherheit.

Deshalb bessert die EU jetzt nach. So ist der Digital Operational Resilienz Act (Dora) bereits seit Januar in Kraft und soll bis Anfang 2025 umgesetzt werden. Dora ist thematisch breiter als NIS-2, bei der die Schwerpunkte beispielsweise bei der Authentifizierung und Netzwerksicherheit liegen. Aktuell ist die NIS-2 eher eine Schnittmenge der Dora und dient als konkreter Leitfaden zur Operationalisierung der Cybersecurity.

Trotzdem sollten Finanzunternehmen die neue Richtlinie als Chance nutzen, die Cyberabwehr zu stärken. Das beginnt mit einer Gap-Analyse. Diese offenbart den Status Quo, aus dem sich Handlungsfelder ableiten lassen. Nach dem Rollout wissen die Unternehmen, wo sie nachbessern müssen. Spätestens der folgende Blick auf die neuen Strukturen verrät, ob die Systeme nun cybersicher aufgestellt sind oder nicht.

Christian Nern ist Partner und Head of Security bei KPMG im Bereich Financial Services in München.