Der neue europäische Standard in der Cybersicherheit hört auf einen sperrigen Namen: Es ist die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (kurz NIS-2). Noch etwas sperriger nimmt sich die Überleitung in nationales deutsches Recht aus, die Ende Juli auf der Agenda des Bundeskabinetts stand. Beschlossen wurde das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Eigentlich sollte die NIS-2 bis Mitte Oktober europaweit in nationales Recht gegossen sein, doch das wird wohl in mehreren Ländern nicht gelingen. Auch Deutschland ist in zeitlichem Verzug.

Das erschwert es Unternehmen, sich vorzubereiten. „Die nationalen Regelungen können in Teilen auch über die Vorgaben der EU-Richtlinie hinausgehen”, erklärt James Blake, Leiter des Bereichs Global Cyber Resiliency Strategy bei dem auf Datensicherheit spezialisierten IT-Unternehmen Cohesity. Die Vorgängerrichtlinie NIS-1 sei in Deutschland beispielsweise strenger ausgelegt worden als in anderen Ländern. Dennoch rät Blake, der regelmäßig Kunden zum Aufbau von Schutzsystemen sowie nach Cyberattacken berät, die grundlegenden Vorbereitungen schon jetzt zu beginnen.

Der Kreis der betroffenen Unternehmen, die künftig bestimmte Mindestsicherheitsmaßnahmen nach der NIS-2 erfüllen müssen, steigt im Vergleich zur Vorgängerregelung von sieben auf 18 Sektoren. Betroffen sind Betriebe mit mindestens 50 Beschäftigten und einem Jahresumsatz und einer Bilanzsumme von mehr als 10 Mill. Euro.

Schätzungen zufolge könnten dies etwa 30.000 Unternehmen in Deutschland sein. Weitere Firmen werden als Zulieferer und Geschäftspartner indirekt betroffen sein. Denn die Unternehmen, die der Richtlinie unterliegen, müssen auch die Cybersicherheitsrisiken entlang ihrer Lieferketten einbeziehen.

Zurzeit fehle den Unternehmen „durch Verzögerungen in der Ressortabstimmung die dringend notwendige Rechtssicherheit“, bemängelt der Branchenverband der Digitalwirtschaft Bitkom. Dort hofft man auf ein Inkrafttreten des Gesetzes bis Anfang 2025.

Die Bedrohung für Unternehmen durch Angriffe auf die IT ist allgegenwärtig. Der Batteriehersteller Varta, der mittlerweile ein Restrukturierungsverfahren durchläuft, musste nach einem Cyberangriff die Bilanzvorlage verschieben. Bei Teamviewer ging ein Angriff auf die IT-Systeme kürzlich zwar ohne Folgen für die Produktumgebung ab, am Kapitalmarkt reagierte die Aktie zeitweise dennoch heftig. Die Attacke erfolgte über einen kompromittierten Mitarbeiterzugang.

Die NIS-2-Richtlinie soll die „Resilienz- und Reaktionskapazitäten“ verbessern, so das Ziel der EU. Die Abwehr einer Attacke sei aber nur ein Teil davon, mahnt Blake. „Unternehmen sollten mehr Fokus auf den Umgang mit Cyber-Attacken legen.“ Das beginne bei der Risikobeurteilung. „In die Analyse möglicher Risiken fließt oft nur 1% der Zeit, in 99% der Zeit werden dann Abwehrstrategien entworfen“, berichtet er. „Wenn aber meine Basisanalyse nicht stimmt, dann leiten sich daraus die falschen Antworten ab.“

Zur Resilienz gehöre es, Systeme auf dem aktuellen Stand zu halten, Daten über Backups zu sichern und detaillierte Reaktionspläne für den Notfall auszuarbeiten, um nach einem erfolgreichen Cyberangriff die negativen Folgen einzudämmen. Dabei komme es auf die Details an: „Im Notfall fahren Rechner nicht mehr hoch, Messenger-Systeme bleiben stumm, die elektronische Zugangskarte öffnet keine Türen mehr“, berichtet er. Solche Szenarien und das mögliche Chaos, das sie verursachen, müssten Unternehmen in der Vorbereitung durchspielen.

Auch wenn die Details zur nationalen Umsetzung noch offen sind, ist bereits bekannt, dass Verstöße gegen die NIS-2 für Unternehmen in kritischen Sektoren Bußgelder von bis zu 2% des weltweiten Jahresumsatzes nach sich ziehen können. Auch Vorstände und Geschäftsführer rücken in die Haftung. Ihnen werden zusätzliche Pflichten auferlegt, sie müssen sich etwa regelmäßig zur IT-Sicherheit schulen lassen. Inwieweit sich Manager gegen Haftungsansprüche versichern können, ist offen. Cyberversicherungen sind schwer zu bekommen, oft sind sie teuer und der geforderte Selbstbehalt ist hoch. Zudem kommt es für die Kalkulation von Policen auf Details an. „Die Versicherer werden den finalen Stand der nationalen Gesetzgebung abwarten, bevor sie Produkte auflegen“, vermutet Blake.

Dass die nationalen Gesetze zur NIS-2 voneinander abweichen können, stellt viele internationale Konzerne vor eine Frage: Welche Variante ist für sie entscheidend? Blake sieht zwei Vorgehensweisen: „Man kann sich entweder für die strengste Vorgabe entscheiden“, erklärt er. Dies könne dann allerdings das Gesetz eines Landes sein, das nur für einen Bruchteil des Konzernumsatzes steht. Einfacher sei es, die nationalen Gesetze gesamthaft zu betrachten und einen Querschnitt zu ziehen. In dem Fall müsse man den Aufsichtsbehörden gegenüber dokumentieren und begründen können, warum man sich für welche Auslegung entschieden hat. In der Vergangenheit hätten die Aufseher den Unternehmen zumeist keine zusätzlichen Hürden in den Weg gestellt, berichtet Blake. „Die Regulatoren, mit denen ich bislang gearbeitet habe, waren üblicherweise sehr pragmatisch.“