Bereits im Dezember 2022 wurde die NIS2-Richtlinie im Amtsblatt der EU veröffentlicht. Daraufhin trat sie im Januar dieses Jahres in Kraft und muss danach binnen 21 Monaten, also bis Mitte 2024 in nationales Recht der Mitgliedsstaaten umgesetzt werden. Für viele Unternehmen könnte sich zu diesem Zeitpunkt einiges ändern.
Ein Kommentar von Ingolf Rauh, Head of Product and Innovation Management bei Swisscom Trust Services.
Die Richtlinie der Europäischen Union zur Netzwerk- und Informationssicherheit 2 oder kurz NIS 2 regelt zukünftig unter anderem, welche Unternehmen zur kritischen Infrastruktur (KRITIS) gehören. Deren Anzahl könnte sich durch verschärfte Regularien in Zukunft drastisch erhöhen. Bisher gehören z.B. in Deutschland etwa 4.000 Unternehmen diesem Sektor an.
Durch die neue Richtlinie könnte sich diese Zahl nun um den Faktor 10 erhöhen, wobei die Aussage auch in anderen EU-Mitgliedstaaten gelten wird. Den meisten davon dürfte das noch gar nicht bewusst sein. Dennoch bleibt nur noch ein Jahr zur Vorbereitung.
Bisher denkt man bei KRITIS wohl eher an Dinge wie Wasser- und Stromversorgung. Zukünftig können darunter aber auch Unternehmen aus Sektoren wie Post- und Kurierdiensten, der Abfallwirtschaft oder Lebensmittelverarbeitung gehören. Auch der sehr weit gefasste Begriff ‚Anbieter digitaler Dienste‘ wird im Anhang der Richtlinie aufgeführt.
Unternehmen, die zu den 18 insgesamt aufgeführten Sektoren zählen und auf mehr als 50 Mitarbeitende oder zehn Millionen Euro Jahresumsatz kommen, müssen dann verbindliche Cyber-Security-Pflichten umsetzen. Wichtig, Anbieter digitaler Infrastrukturen, wie auch Trust Services, werden unabhängig von ihrer Größe reguliert.
Die größten Herausforderungen, werden sein, dass die betroffenen Firmen ihre operative Infrastruktur aufwerten, Cyber-Sicherheitsbeauftragte ernennen, ggfs. ein Risiko Management System einführen oder ausweiten und IT-Security-Notfallteams mit Meldebereitschaft bilden müssen. Mit dem ohnehin schon leergefegten Markt für IT-Spezialisten wird das keine leichte Aufgabe werden.
Außerdem müssen die Unternehmen, mehr noch als bisher, auf die Auswahl ihrer Partner achten. Verantwortliche müssen sicherstellen, dass auch Dienstleister, mit denen sie zusammenarbeiten, reguliert sind und entsprechende Zertifikate vorweisen können. Auch diese Partner müssen regelmäßig auditiert und in das zu schaffende Meldesystem einbezogen werden. Es empfiehlt sich daher die Zusammenarbeit mit Firmen, die bereits Erfahrungen im hochregulierten Umfeld haben.
Doch das allein reicht natürlich nicht und NIS2-regulierte Unternehmen müssen Lösungen finden, wie sie trotz Fachkräftemangel auf die neuen Anforderungen im Bereich IT-Sicherheit reagieren können. Auf die leichte Schulter nehmen sollte man die neuen Regularien keinesfalls, denn es drohen ähnlich hohe Strafen, wie sie auch im Rahmen der DSGVO verhängt werden können. Außerdem ist eine direkte Haftung der Geschäftsführung für Verstöße vorgesehen.
Es wird also höchste Zeit für alle Unternehmen zu prüfen, ob sie eventuell unter die neue Richtlinie fallen und die strengen Anforderungen ab 2024 erfüllen müssen. Falls ja, sind die strategischen Überlegungen umgehend anzustellen – insbesondere die Frage Build oder Buy - und sind entsprechende Roadmaps zu entwickeln und Maßnahmen umzusetzen. Ansonsten könnten ab dem nächsten Sommer böse Überraschungen auf sie warten.