Hinter dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz mit der schönen Abkürzung „NIS2UmsuCG“ verbirgt sich der deutsche Referentenentwurf zur Umsetzung der auf EU Ebene beschlossenen Direktive zur „Sicherheit von Netzwerk und Informationssystemen“ (kurz NIS). Und weil es bereits ein Update dieser europäischen Direktive ist, sprechen wir von NIS 2. Sie wurde im Januar dieses Jahres verabschiedet und muss bis Oktober 2024 in nationales Recht umgewandelt werden - eben NIS2 UmsuCG. Nun stoßen neue Gesetzte besonders in der Wirtschaft häufig nicht auf Wohlgefallen. Überregulierung und Bürokratie sind bekannte Probleme des Wirtschaftsstandort Deutschland. Kommt etwas hinzu, heißt das, dass Prozesse umgestellt werden und Sonderausgaben getätigt werden müssen. So auch hier. Die geschätzten Kosten für die deutsche Wirtschaft gehen wahrscheinlich in die Milliarden. Daher stellt sich die Frage, ob es dieses Gesetz wirklich braucht.
IT-Sicherheit nach Stand der Technik
Nun, die Anforderungen der NIS 2-Gesetzgebung entsprechen dem, was seit Jahren als „Stand der Technik“ definiert wird. Dazu gehören beispielsweise so genannte „Werkzeuge zur Angriffserkennung“ (vom BSI so benannt), die in der Lage sein sollen, umfassend in einem Unternehmen Cyberattacken zu erkennen und darauf zu reagieren - im Fachjargon XDR (eXtended Detection & Response). Ein anderer Bereich ist die Fähigkeit, einen Angriff zu überstehen (Resilienz) sowie die Geschäftstätigkeit wieder herzustellen (Backup, Disaster Recovery).
Das sind alles keine „neuen“ Themen, sondern eigentlich etwas, was Unternehmen sowieso einsetzen sollten, um sich selbst aber vor allem ihnen anvertraute Daten Dritter (Stichwort Datenschutz Grundverordnung) zu schützen. Das einzig „Neue“ dabei ist, dass die vorhandene Technologie sowie die Prozesse, damit umzugehen, regelmäßig durch Auditoren geprüft werden sollen. Im Prinzip ist auch das etwas, was ohnehin schon passieren müsste. Denn auch beim Schutz gegen andere Formen der Schädigungen wie Brand, Diebstahl oder Verletzungsgefahren sind Prozess- und Technikprüfungen durch Dritte absolut normal.
Deshalb braucht es NIS 2!
Warum aber werden solche Summen an Mehrkosten erwartet und warum glaubt man, dass Unternehmen diese neuen Auflagen als zu belastend empfinden werden? Weil Internetkriminalität in den meisten Unternehmen nach wie vor massiv unterschätzt wird. Es ist bisher nichts passiert, also ist die eigene IT sicher – welch ein Trugschluss. Es wird übersehen, dass der Grund für die eigene „Sicherheit“ durchaus der Personalmangel ist… aber auf der anderen Seite. Aktuell werden pro Jahr weltweit etwa Daten von 4000 bis 8000 Unternehmen durch Cyberkriminelle erfolgreich verschlüsselt (Ransomware). Dafür verantwortlich sind etwas über 50 Gruppen, die dieses Geschäft mehr oder weniger professionell betreiben. Dagegen existieren alleine in Deutschland laut statista.com ca. 90.000 mittelständische und größere Unternehmen (>50 Angestellte). Nicht selbst betroffen zu sein, ist deshalb oft weniger der eigenen Sicherheit als vielmehr der statistischen Wahrscheinlichkeit zu verdanken.
Problem der Politik
Und hier steht die Politik vor einer Herausforderung. Schließlich geht es um Betreiber kritischer Infrastrukturen. Denn wie einige Fälle bereits gezeigt haben, kann ein Ausfall wichtiger oder sogar essenzieller Unternehmen massive Auswirkungen auf Bürger haben. Wenn wie z.B. bei der Colonial Pipeline die Ölversorgung ganzer Landstriche gefährdet ist, dann ist die Politik schnell im Fokus. Denn nichts hasst der Bürger mehr als sich seiner Abhängigkeit bewusst zu werden (Stichwort Gasversorgung aus Russland).
In den bekannten Fällen handelte es sich dabei keineswegs um koordinierte Taten, sondern um kriminelle Erpressung durch individuelle Gruppen. Diese haben demonstriert, dass es gelingen kann mit Mitteln der Cyberkriminalität Regionen in den Notstand zu treiben (in Deutschland beispielsweise Landkreis Anhalt Bitterfeld).
Die Politik muss sich deshalb mit der Frage beschäftigen, was passieren kann, wenn statt Einzelvorfällen eine koordinierte Attacke stattfindet. Die Bundesregierung hat dazu das IT-Sicherheitsgesetz vor wenigen Jahren aktualisiert (IT-SG2) und damit den NIS 2 Katalog in vielen Bereichen bereits vorweggenommen. Der Krieg in der Ukraine und die damit einhergehende Eskalierung IT-basierter Angriffe hat die Dringlichkeit noch einmal unterstrichen. Insofern überrascht es nicht, dass neben Prüfmechanismen auch empfindliche Strafen verhängt werden können, im Besonderen auch an Einzelpersonen in Geschäftsleitungen, die durch Missachtung von Auflagen eine Gefahrensituation für die Allgemeinheit erzeugen.
Darum braucht es NIS 2
Auf der einen Seite geht es darum, katastrophale Zwischenfälle zu vermeiden. Auf der anderen Seite möchte man als Geschäftsführung selbst ebenfalls sicher sein, sein Möglichstes getan zu haben, kommt es doch einmal zu einem Zwischenfall. Und genau darum geht es auch bei NIS 2. Der Ausfall einer kritischen Infrastruktur wirkt sich dabei auf mehrere Bürger aus und kann im schlimmsten Fall sogar lebensbedrohliche Konsequenzen haben. Natürlich muss so etwas vermieden werden und wenn es doch passieren sollte, muss zumindest das Möglichste dagegen getan worden sein. Aber NIS 2 bringt noch mehr. Im Ernstfall geht es darum, schnell und richtig zu reagieren. Das bereitet die Gesetzeslage vor. Es wird auch Hilfe angeboten, und man erhält Warnungen, sollten andere Unternehmen getroffen werden. Insofern lohnt es sich, die Regeln zu befolgen und es lohnt sich – paradoxerweise – selber darunter zu fallen.
Wirtschaftsstandort Deutschland
Der große Vorteil von NIS 2 ist, dass es kein deutsches Gesetz ist, sondern eine europäische Direktive. Sie beschreibt eine Mindestanforderung an die nationale Gesetzgebung in den 27 Mitgliedstaaten. Nicht EU-Länder wie die Schweiz oder Norwegen werden typischerweise versuchen, Rechtsgleichheit zu erreichen. NIS 2 eröffnet Unternehmen die Möglichkeit, kritische Infrastrukturen EU-weit anzubieten, und verhindert, dass nicht NIS 2-auditierte Unternehmen als Mitbewerber auftreten.
Musste man sich bisher mit 27 einzelnen Regularien auseinandersetzen, gibt es nun Klarheit darüber, welche Unternehmen darunterfallen und welche Regularien einzuhalten sind. Die Auditierung erfolgt im Land, in dem der Hauptsitz ist. Wohl könnte es aber sein, dass Hilfsangebote und die Erreichbarkeit des nationalen CSIRTS langfristig als Werbemaßnahmen für IT-Standorte dienen werden. Tatsächlich besteht durchaus die Einschätzung, dass Unternehmen sich freiwillig zu KRITIS zählen werden wollen, da eine verbriefte Auditierung und damit Feststellung der Security Leistungsfähigkeit ein Wettbewerbsvorteil darstellen wird. Und letztlich sind, wie oben festgestellt, die Anforderungen das, was man als Unternehmen ohnehin betreiben sollte, um sich zu schützen.
Auswirkungen auf die Lieferkette
Teil der vorgeschriebenen IT Risikobetrachtung, wird dabei auch die Einschätzung der eigenen Lieferkette sein. Ausfälle außerhalb der IT regelt dabei bereits das Lieferkettengesetz. NIS 2 fokussiert deshalb auf die IT-Leistungsfähigkeit. Im Fokus stehen dabei vor allem Softwareverknüpfungen sowie der Austausch von elektronischen Daten. Je enger IT-Systeme miteinander verbunden sind, desto höher die Anforderung an die Risikoeinschätzung. Auch diese Forderung von NIS 2 ist eigentlich lediglich eine zu Papier gebrachte Dokumentation von Best Practice Empfehlungen.
In der Konsequenz werden KRITIS Unternehmen Fragen der IT-Security zu Auswahlkriterien ihrer Lieferkette machen. Eine Tendenz die bereits seit Jahren stetig wächst. So gaben jüngst in einer weltweiten Trend Micro-Umfrage unter 2820 Unternehmen mit mehr als 250 Mitarbeitern 71% an, gelegentlich oder regelmäßig in Geschäftsverhandlungen nach ihrer Cybersecurity gefragt zu werden. In Deutschland liegt dies sogar noch höher bei 81%. Zwangläufig wird dies Auswirkungen auch auf andere Branchen haben inklusive kleineren Zulieferern. Der „Trickle Down“-Effekt dürfte dabei gewünscht sein.
Fazit
Für Unternehmen, die heute schon Cybersicherheit nach Stand der Technik betreiben wird NIS 2 wenig bis keine Änderungen mit sich bringen. Die Politik kommt lediglich ihrer Verpflichtung nach, Bürger vor gefährdenden Fehlentscheidungen zu schützen. Dass es dafür Gesetze braucht, ist leider eine traurige Tatsache und nicht auf die EU beschränkt.
Spannend dürfte es allerdings werden, welche wirtschaftlichen Nebeneffekte sich einstellen. Cybersecurity wird in einem Markt wie dem europäischen mit NIS 2 zum Wirtschaftsfaktor, der für jedes Unternehmen, dass hier KRITIS betreibt oder ein KRITIS Unternehmen beliefern möchte zu einer Richtgröße wird. Zweifellos werden europäische Unternehmen ihre IT-Security-Leistungsfähigkeit im internationalen Wettbewerb als Wirtschaftsfaktor einbringen. Interessant ist dabei, dass NIS 2 in der Begründung für die notwendige Anpassung der veralteten Direktive den wirtschaftlichen Aspekt des europäischen Binnenmarktes berücksichtigt und eine administrative Erleichterung für europäische Unternehmen als eines der Hauptmotive angibt.
Vielleicht sollte die Wirtschaft das obligatorische Jammern über die staatliche „Knechtung“ ein wenig hintanstellen und stattdessen die wirtschaftlichen Optionen dieser neuen Vorgabe für sich ergründen.