Kommentar zum NIS2-Gesetz: Jetzt haftet endlich der Chef für Cybersicherheit
Das Gesetz ist ein Schritt in die richtige Richtung, meint KRITIS-Experte Manuel Atug, obwohl der Gesetzgeber mit vielen Ausnahmen Potenzial verschenkt.
- Manuel Atug
Wir haben nach Cyber gerufen und Cyber bekommen: Die EU ist seit einigen Jahren aufgewacht und die Maschinerie des Gesetzesapparates ist in Gang gekommen. Jetzt kommt ein Cybergesetz nach dem anderen raus und versucht Einzelteile zu regulieren. Kürzlich der AI Act und parallel zur NIS2 das Kritis-Dachgesetz. Viele mehr wie DORA für die Finanzbranche und der Cyber Solidarity Act, der Mitgliedsstaaten gegen besonders weitreichende Angriffe absichern soll, sind ebenfalls in Arbeit oder bereits abgeschlossen. Die Bundesregierung muss NIS2 nun bis zum 17. Oktober 2024 in deutsches Recht umsetzen. Hierzulande betitelt man das kommende NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) gern als Cybersicherheitsstärkungsgesetz. Der Aufschrei in der Wirtschaft ist groß, denn das neue Gesetz wird etwa 5000 bis 6000 Betreiber kritischer Anlagen (KRITIS) sowie etwa 30.000 wichtige und besonders wichtige Einrichtungen in Deutschland betreffen.
Hier gilt es, einiges nachzurüsten: Im Rahmen des Risikomanagements sind ein Informationssicherheitsmanagementsystem (ISMS), ein Business Continuity Management (BCM) und ein Krisenmanagement aufzusetzen. Das ist zu begrüßen. Dazu kommen Life Cycle Management, Kryptografie, das Bewältigen von Sicherheitsvorfällen, Awareness und Cyberhygiene sowie physische Sicherheit und Sicherheit des Personals. Darüber hinaus werden noch sichere Authentifizierung, sichere Kommunikation und Dienstleistersteuerung gefordert, also die Sicherheit in der Lieferkette. Auch hier wird – wie zuvor von kritischen Infrastrukturen nach BSI-Gesetz § 8 a, b – die Einhaltung des "Stands der Technik" erwartet; was das genau heißt, bestimmt das Gesetz jedoch nicht.
Die Meldepflichten, die auf betroffene Einrichtungen zukommen, sind gut gemeint und haben kurze Fristen. Allerdings sind sie komplex und werden einen koordinierten EU-weiten Angriff nicht abwehren können. Immerhin müssen sich alle intensiver mit Vorfallbehandlung und zugehörigen Meldungen beschäftigen.
Cybersicherheit wird endlich Chefsache
Lang genug haben die Unternehmen gerufen, dass sie wissen müssten, wer die Täter sind und dass sie ein Lagebild benötigen. Jetzt werden sie verpflichtet, den entsprechenden Input dafür zu liefern. Für die Sicherheit verantwortlich sind laut der Richtlinie Geschäftsführer und Behördenleiter. Sollten Einrichtungen ihren Verpflichtungen nicht nachkommen, so kann ihnen das BSI einen Beauftragten zum Überwachen der Pflichten aufzwingen. Lustig wird das allemal nicht und Cybersicherheit sollte wirklich ernst genommen werden. Denn besonders die Sanktionen haben es in sich: Geldbußen von bis zu zehn Millionen Euro oder einem Höchstbetrag von zwei Prozent des globalen Jahresumsatzes bei besonders wichtigen Einrichtungen und von bis zu sieben Millionen Euro oder 1,4 Prozent des globalen Jahresumsatzes bei wichtigen Einrichtungen.
Wird die NIS2-Richtlinie im Oktober in deutsches Recht umgesetzt, sind rund 30.000 Unternehmen betroffen. Der Digital Operational Resilience Act (DORA) reguliert die Finanzbranche noch strenger – und gibt einen Vorgeschmack auf das Kommende.
Cybersicherheit soll also Chefsache werden, und das ist gut so! Es könnte nun der Eindruck entstehen, wir könnten die Hände in den Schoß legen und sagen: Gut gemacht, wir haben fertig. Aber leider weit gefehlt. Insbesondere hat der Gesetzgeber das NIS2UmsuCG leider nicht mit dem Kritis-Dachgesetz synchronisiert, das ab Oktober 2024 für betroffene Einrichtungen Resilienz in der physischen Sicherheit fordern wird. Fairerweise muss man sagen, dass das BMI im neueren Referentenentwurf einen großen Sprung hin zur Angleichung an das NIS2UmsuCG vorgenommen hat, aber es ist eben noch nicht am Ziel. Asynchrone Anforderungen zwischen den verschiedenen Richtlinien führen nur zu Verwirrung und Verantwortungsdiffusion, damit wird keinem geholfen.