Sicher verunsichert

Kolumne

Die EU will die Cybersicherheit gehörig updaten. Dazu schiebt Brüssel keine Diskette ins Laufwerk, sondern erließ die Network-and-Information-Security-Richtlinie 2.0 (kurz: NIS-2-Richtlinie). Wir wollen schauen, welches starke Signal für mehr Resilienz (Buzzword des Jahrzehnts – aber nach wie vor treffend) in diesem Update steckt und wie die NIS-2 das große Puzzle der Cybersicherheitsvorschriften passt.

Während die neue Richtlinie die Abwehr digitaler Bedrohungen stärken möchte, wirft ihre nationale Umsetzung zahlreiche Fragen auf. Warum zieht sich der Gesetzgebungsprozess in Deutschland so in die Länge, obwohl die NIS-2 seit über einem Jahr in der Diskussion ist und spätestens im Oktober umgesetzt sein muss? Und was bedeutet das alles für die betroffenen Unternehmen und öffentlichen Einrichtungen? Ein Blick auf den aktuellen Status zeigt: Die Reise zur neuen Cybersicherheitsnorm verläuft alles andere als geradlinig.

Klares Ziel

Die NIS-2-Richtlinie hat ein klares Ziel: Die Cybersicherheit soll aufs nächste Level kommen und EU-weit angeglichen werden. Dabei geht es nicht nur um den Schutz der klassischen „kritischen Infrastrukturen“ wie Energie- oder Wasserversorgung, sondern auch um digitale Dienste und Lieferketten. Das neue Regelwerk baut auf der NIS-Richtlinie von 2016 auf, geht aber deutlich weiter: größerer Anwendungsbereich, strengere Meldepflichten und erhöhte Anforderungen an Cybersicherheitsmaßnahmen von Unternehmen stehen bevor.

Angriffe auf kritische Infrastrukturen nehmen weltweit zu. Das macht solche Regelwerke notwendig. Und das nicht nur im Digitalen. Im Analogen hat hat die EU mit der CER-Richtlinie (Critical Entities Resilience) das Pendant zu NIS-2 gleich neu geschaffen. Dort steht die physische Resilienz kritischer Infrastrukturen im Vordergrund. Beiden Normen ergänzen sich: Während durch NIS-2 digitale Bedrohungen frühzeitig erkannt und effektiv abgewehrt werden sollen, konzentriert sich die CER-Richtlinie auf den Schutz kritischer Infrastrukturen insgesamt, sei es durch Naturkatastrophen oder gezielte Angriffe. Oder – wie es der Titel des deutschen Umsetzungsgesetzes vermuten lässt – die CER-Richtlinie will sektorübergreifend ein „Dach“ über die kritischen Infrastrukturen legen: Willkommen, „KRITIS-Dachgesetz“!

Balance gesucht

Zurück in den deutschen Cyberspace: Obwohl die NIS-2-Richtlinie schon seit einiger Zeit in den politischen Mühlen bearbeitet wird, verlief die Umsetzung nicht reibungslos. Federführend durch das BMI wurden seit Mitte 2023 ganze vier Referentenentwürfe des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz veröffentlicht, der letzte im Juni 2024. Komplexe Abstimmungen zwischen Ministerien und Verbändeanhörungen verzögerten den Prozess. Das Ziel ist nicht weniger als eine Balance zwischen strengen Sicherheitsanforderungen und einem in der Praxis gangbaren Weg.

Unternehmen im Anwendungsbereich der NIS-2 (unter anderem bestimmte Online-Marktplätze, Gas- und Stromlieferanten, Eisenbahn- und Luftfahrtunternehmen, Kreditinstitute oder Pharmakonzerne) will man auf die Einführung eines umfassenden Risikomanagements verpflichten. Das beinhaltet unter anderem Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten sowie das Pflegen von Datenbanken. Der neue Pflichtenkatalog sieht außerdem vor, Notfallpläne auszuarbeiten.

Erste Unklarheiten kommen aber bereits bei der Frage auf, wen genau der Anwendungsbereich betrifft: Als Schwellenwerte gelten Mitarbeiterzahl, Umsatz und Zugehörigkeit zu bestimmten Sektoren. Das deutsche Umsetzungsgesetz möchte eine Teilberechnungsmethode für gewisse Mitarbeitergruppen einführen; das war in der EU-Richtlinie aber nicht vorgesehen. Die Methode wirft Fragen zur Rechtsmäßigkeit auf. Das deutet auf Anpassungsbedarf im weiteren Verfahren hin.

Es wird knifflig

Spiegelbildlich gehen mit verstärkten Cyber-Anforderungen für Unternehmen auch umfassendere Kontroll- und Durchsetzungsmöglichkeiten für die Aufsichtsbehörden einher. Insbesondere dem Bundesamt für Sicherheit in der Informationstechnik (BSI) werden im Regierungsentwurf mehr Befugnisse verliehen, um die Einhaltung der Vorgaben durchzusetzen. Auch die Möglichkeit, empfindliche Bußgelder zu verhängen, die bei „besonders wichtigen Einrichtungen“ mit einem Jahresumsatz von mehr 500 Millionen Euro bis zu 2 Prozent des Jahresumsatzes erreichen können, ist davon umfasst. In der Praxis stellt eine derartige Drohkulisse einige Unternehmen vor eine echte Herausforderung – besonders alle diejenigen, die bislang nur unzureichende Sicherheitsvorkehrungen getroffen haben.

Trotz aller Verzögerung fällt nun der Startschuss für die Parlamentsberatungen. Es wird knifflig. Weder die Abgeordneten noch die Ländervertreter werden es sich nehmen lassen, intensiv über ihre Vorstellungen von Cybersicherheit zu debattieren. Am 17. Oktober läuft die Umsetzungsfrist ab. Die wird Deutschland um mehrere Monate reißen. Verlässliche (Rechts-)Sicherheit für die rund 29.000 nach dem Gesetz „besonders wichtigen“ und „wichtigen“ Einrichtungen, die konkrete Anpassungspflichten treffen, wird also eine Weile auf sich warten lassen. Trotz dieses Beigeschmacks bleibt die NIS-2-Richtlinie ein notwendiger Schritt, um wachsenden Bedrohungen im digitalen Raum entgegenzutreten. Der Weg zur Umsetzung bleibt jedoch holprig. Klar ist: Die Uhr tickt, und die Bedrohungslage im Cyberspace wartet nicht auf Gesetzgebungsprozesse.