Mit dem Aus der Ampel-Koalition im November 2024 war klar, dass etliche Gesetzgebungsvorhaben auf Eis gelegt werden – auch Pläne der Digitalgesetzgebung. Und angesichts der kurzen Frist bis zur Bundestagswahl am 23. Februar war absehbar, was Ende Januar von verschiedenen Medien gemeldet wurde: Neben dem Kritis-Dachgesetz für den physischen Schutz von kritischen Infrastrukturen wird auch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) als nationale Umsetzung der europäischen Netzwerk- und Informationssicherheitsrichtlinie erst nach der Wahl implementiert.

Dabei hatte der Digitalverband Bitkom bereits kurz nach dem Zerbrechen der Koalition an die Bundesregierung appelliert, es dürfe bei der Umsetzung der NIS2-Richtlinie sowie des Kritis-Dachgesetzes angesichts der bereits abgelaufenen europäischen Umsetzungsfristen nicht zu unabsehbaren Verzögerungen kommen. „Mit den notwendigen Anpassungen muss hier Rechtssicherheit geschaffen werden", hatte Bitkom-Hauptgeschäftsführer Bernhard Rohleder gefordert. Doch nun muss der Gesetzgebungsprozess erneut gestartet werden, und die neue Regierung wird die Umsetzung aufgrund erforderlicher formaler Prozesse wohl frühestens im Herbst verabschieden können – eine zügige Regierungsbildung vorausgesetzt.

Die Umsetzungsfrist war am 17. Oktober 2024 abgelaufen. Dabei war das Gesetzgebungsverfahren bereits recht weit gediehen. Der ursprüngliche Zeitplan des Bundesministeriums des Innern und für Heimat (BMI) hatte vorgesehen, dass die Richtlinie bis März 2025 verabschiedet sein sollte. Ein Gesetzentwurf lag vor und wurde Anfang November 2024 im federführenden Innenausschuss des Bundestags mit Sachverständigenanhörung diskutiert.

Angesichts der starken Verzögerungen hatte die Europäische Kommission Ende November in einem Vertragsverletzungsverfahren die Übermittlung von Aufforderungsschreiben gegen 23 EU-Mitgliedstaaten – unter anderem Deutschland – eingeleitet. Eine Antwort sollte binnen zwei Monaten erfolgen. Zumindest hierzulande läuft auch diese Frist nun ohne Ergebnis ab.

Dass bislang noch nicht einmal ein Drittel der EU-Länder die Richtlinie umgesetzt haben, stellt derweil Organisationen vor große Herausforderungen, wie Susanne Werry, Counsel bei Skadden, Arps, Slate, Meagher & Flom, betont: „Unternehmen wissen gar nicht genau, welche Maßnahmen sie umsetzen sollen. Wenn sie EU-weit tätig sind, wissen sie auch nicht, wie sie in den einzelnen Ländern betroffen sind. Es kann sein, dass individuelle Länder höhere Anforderungen stellen oder auch spezifisch eigene konkrete Maßgaben. Es kann auch Schwellenwerte geben, die von Land zu Land unterschiedlich sind.“

Mit NIS2 soll ein hohes Cybersicherheitsniveau in der EU sichergestellt werden, indem die Anforderungen an die IT-Sicherheit deutlich ausgeweitet werden. Es geht darum, die Angriffsflächen bei Netzwerk- und Informationssystemen zu minimieren und den Betrieb der Systeme sicherzustellen. Wichtige Maßnahmen in dem Zusammenhang sind das regelmäßige Patch-Management sowie beständige System-Updates auf den neuesten Stand. Der Exekutivdirektor der EU-Agentur für Cybersicherheit (ENISA), Juhan Lepassaar, betonte in einem Bericht der Behörde: „Die NIS2-Richtlinie stellt einen Wendepunkt in Europas Ansatz zur Cybersicherheit dar. In einer sich schnell entwickelnden und komplexen Bedrohungslandschaft erfordert die ordnungsgemäße Umsetzung der NIS2 angemessene Investitionen.“

Für Unternehmen, die unter NIS2 fallen, bedeutet die Richtlinie eine grundlegende Neuausrichtung ihrer IT-Sicherheitsstrategie. Der Begriff kritische Infrastruktur wurde hierbei erheblich ausgeweitet. Nun gibt es auch als „besonders wichtig“ und „wichtig“ eingestufte Einrichtungen in Sektoren wie öffentliche elektronische Kommunikationsdienste, IKT-Verwaltungsdienste und digitale Dienste, aber auch in den Bereichen Abwasser- und Abfallbewirtschaftung, Raumfahrt, Gesundheit, Energie, Verkehr, Herstellung kritischer Produkte, Post- und Kurierdienste und öffentliche Verwaltung. Da digitale Infrastrukturen ebenfalls besser geschützt werden sollen, können auch Unternehmen aus ganz anderen Branchen betroffen sein, etwa, wenn sie Onlinemarktplätze betreiben oder Cloud-Produkte verkaufen.

„Jetzt zählen zum Beispiel auch die Bereiche Abwasser, Lebensmittel oder Herstellung von medizinischen Geräten dazu, denn wenn hier Cyberattacken passieren, würde das die Gesellschaft insgesamt sehr hart treffen. Deshalb hat die Richtlinie einen deutlich größeren Anwendungsbereich, was die Sektoren betrifft“, erläutert Werry mit Blick auf die betroffenen Unternehmen und Bereiche. Zudem setze NIS2 Mindeststandards und beinhalte auch die konkrete Pflicht, dass eine Geschäftsleitung dafür sorgt, dass das alles tatsächlich umgesetzt wird.

Waren von der vorherigen Regulierung in Deutschland noch weniger als 2.000 Unternehmen – vor allem aus der kritischen Infrastruktur – betroffen, gehen Experten davon aus, dass diese umfassende Cybersecurity-Compliance-Reform nun für etwa 30.000 Unternehmen und Organisationen gelten wird. Wer in Frage kommt, hängt von Kennzahlen und Schwellenwerten mit Bezug auf Jahresumsatz (mindestens 10 Mill. Euro), Mitarbeiterzahl (mindestens 50) oder Jahresbilanzsumme (über 10 Mill. Euro) ab.

Dabei wird Werry zufolge Cybersicherheit nicht mehr nur als technische Notwendigkeit, sondern als strategische Managementverantwortung betrachtet. Führungskräfte stünden persönlich in der Pflicht, die Einhaltung der Sicherheitsstandards zu überwachen und sicherzustellen, dass alle Risiken in der digitalen Infrastruktur adäquat bewertet und gemindert werden. Bei Verstößen könnten sie zudem nun direkt haftbar gemacht werden, was den Druck auf das Management erhöhe, Cybersicherheitsrisiken aktiv anzugehen. Diese Anforderungen gingen über das bloße Implementieren technischer Maßnahmen hinaus – sie verlangten eine strategische Integration von Cybersicherheit in alle Geschäftsprozesse und Entscheidungsstrukturen.

Doch was die erweiterten Meldepflichten, Risikomanagement-Anforderungen und Vorgaben für technische Sicherheitsmaßnahmen im Detail beinhalten, ist vielfach noch unklar, da die Umsetzung in nationales Recht Interpretationsspielraum lässt, sodass Firmen über konkrete Anforderungen und Maßnahmen weiterhin im Ungewissen sind. Auch die konkrete Ausgestaltung der Haftungsregelung wird sich erst im Verlauf des Gesetzgebungsverfahrens herauskristallisieren.

Vorgesehen ist, dass bei Nichterfüllung der Vorschriften Sanktionen wie etwa eine Geldstrafe in Höhe von mindestens 10 Mill. Euro oder 2% des weltweiten jährlichen Umsatzes drohen. Wobei das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits angekündigt hat, bei der nationalen Umsetzung von NIS2 einen „kooperativen Ansatz“ zu verfolgen. Demzufolge sollen Bußgelder nur die Ultima Ratio bilden.

Die Dringlichkeit ist jedoch hoch, denn Anzahl und Ausmaß der Gefahren und Angriffe wachsen beständig. Spionage, Sabotage und Datendiebstahl haben in der deutschen Wirtschaft nach Bitkom-Schätzungen aus dem August 2024 Rekordschäden von über 267 Mrd. Euro verursacht, einen großen Teil davon durch Cyberangriffe.

Gleichzeitig nimmt die Zeit, die für Gegenmaßnahmen zur Verfügung steht, stetig ab. Bei der Analyse von 138 aktiv ausgenutzten Schwachstellen im Jahr 2023 stellte das US-Cybersicherheitsunternehmen Google Mandiant fest, dass 70% davon Zero-Day-Schwachstellen waren – also Schwachstellen in einer Software, die von Angreifern entdeckt wurde, bevor der Hersteller darauf aufmerksam geworden ist. Die Ausnutzungszeit (Time-to-Exploit, TTE) – die Zeit, die Bedrohungsakteure benötigen, um eine Schwachstelle auszunutzen – war 2023 auf nur fünf Tage gesunken, verglichen mit 63 Tagen im Zeitraum 2018/19 und 32 Tagen 2021/22.

Gunnar Porada von der IT-Sicherheitsberatungsfirma Innosec betont: „Je kürzer die Zeit bis zum ersten Angriff, desto größer das Risiko. Unternehmen geraten zunehmend ins Hintertreffen, weil sie Sicherheitslücken oft erst erkennen, wenn es bereits zu spät ist. Das führt zu einem erheblich höheren Risiko für Datenverluste, Betriebsunterbrechungen und finanzielle Schäden.“

Besonders kritisch seien Schwachstellen, die Angreifern vollen Zugriff auf IT-Systeme ermöglichen. Studien belegen, dass über 60% der erfolgreichen Cyberangriffe auf solche Schwachstellen zurückzuführen sind – und das, obwohl zum Zeitpunkt des Angriffs bereits Lösungen existierten. Ein effektives Vulnerability Management mit täglichen Schwachstellen-Scans könne Unternehmen helfen, Sicherheitslücken frühzeitig zu identifizieren. Doch trotz der Verfügbarkeit von Sicherheits-Updates werden viele Schwachstellen nicht oder viel zu spät behoben. Laut einer IBM-Untersuchung nutzen Cyberkriminelle bei rund der Hälfte ihrer Angriffe Schwachstellen, für die es längst Patches gibt. Unternehmen und öffentliche Institutionen setzen jedoch in mehr als 72% aller Fälle bereitgestellte Patches selbst nach 30 Tagen nicht ein. Nach 90 Tagen sind noch fast 50% der Schwachstellen offen – und etwa 30% werden nie geschlossen.

Aus Poradas Sicht unterstreicht das einen Punkt, dem mit NIS2 eigentlich auch Rechnung getragen werden soll: „IT-Sicherheit darf nicht nur als technisches Problem betrachtet werden, sondern muss ein integraler Bestandteil der Unternehmensstrategie sein. Solange IT-Abteilungen nicht die gleichen Controlling-Mechanismen erhalten wie andere Geschäftsbereiche, werden essenzielle Maßnahmen wie regelmäßige Updates, Patching und Risikobewertungen vernachlässigt.“ Dabei zählten gerade solche Maßnahmen zu den „Low Hanging Fruits“ in der IT-Sicherheit – Lösungen, die mit wenig Aufwand großen Schutz böten.