Wie lassen sich die technischen Anforderungen der NIS2-Regulierung umsetzen? Zu dieser Frage tauschen sich die eco Mitglieder bei der nächsten regulären Sitzung der KG KRITIS aus – am 13. Februar 2025 im DE-CIX Meeting Center in Frankfurt. KG-Leiter Ulrich Plate wird in diesem Rahmen den Stand des „Implementig Guide“ der ENISA vorstellen. Einen kleinen Vorgeschmack gibt es im Interview mit ihm.
Wie kommt es, dass eine europäische Richtlinie zur Cybersicherheit solche Wellen schlägt, dass sie nun schon seit Monaten die öffentliche Debatte beherrscht?
Zum ersten Mal formuliert NIS2 für Unternehmen im Anwendungsbereich konkrete, unmissverständliche und europaweit absolut verbindliche Mindestsicherheitsanforderungen. Der bisherige Rechtsrahmen verwies immer nur auf den „Stand der Technik“, den es einzuhalten galt. Das hieß zwar keinesfalls, dass man das Gesetz nach Lust und Laune interpretieren konnte, aber konkrete Vorgaben waren nicht gegeben. Diese waren bisher Gegenstand separater Verordnungen, von Sicherheitskatalogen oder branchenspezifischen Standards. Die NIS2 schafft hier eine Verbesserung: Indem sie eine gesetzliche Grundlage bildet, anhand der sich in Zukunft mit weniger Mühe erkennen lässt, welche Maßnahmen das Cyberrisikomanagement eines Unternehmens umzusetzen hat.
Warum sind in einer eigenen Durchführungsverordnung (EU) 2024/2690 die technischen und methodischen Anforderungen dann noch einmal konkretisiert worden? Und was hat die europäische Cybersicherheitsagentur ENISA dazu veranlasst, dazu auch noch einen umfangreichen Leitfaden zu erstellen?
Diese Durchführungsverordnung betrifft nur einen bestimmten Anwendungsbereich der Richtlinie – nämlich geltend für die Sektoren, die unter die Kategorie digitale Dienste fallen. Die EU-Kommission verfolgt damit vor allem den Zweck, eine europäische Harmonisierung für diejenigen Branchen sicherzustellen, die in vielen Fällen ohnehin international tätig sind.
Die ENISA-Handreichung geht noch einen Schritt weiter. Sie teilt die zu befolgenden Maßnahmen nicht nur in Einzelschritte auf, sondern ist zudem eine sehr ausführlich kommentierte Fassung der Durchführungsverordnung. Was sie aber auch bietet – und hier wird es wirklich interessant für die künftig regulierten Unternehmen – ist eine Konkordanz der Anforderungen aus Richtlinie und Verordnung zu den internationalen Standards wie ISO 27001, der amerikanischen NIST und anderen, auch nationalen Einzelstandards wie die belgischen „Cyberfundamentals“. Kurz: umfassende Referenztabellen, mit denen man bereits geleistete Maßnahmen, vielleicht sogar schon erfolgte Zertifizierungen in direkten Zusammenhang mit den gesetzlichen Anforderungen bringen kann. Das vereinfacht die Umsetzung enorm.
Wie reagieren die betroffenen Unternehmen auf die Regulierung? Fällt es ihnen schwer, die technischen und methodischen Anforderungen der NIS2 umzusetzen?
Im Gegenteil. Wer sich noch an die Skepsis erinnert, die vor zehn Jahren bei der Einführung der ersten KRITIS-Regulierung für die Betreiber kritischer Infrastrukturen herrschte, wundert sich vielleicht über die fast schon enthusiastische Aufnahme der NIS2-Richtlinie. Aber: Zum einen stehen Unternehmen in ganz Europa mittlerweile deutlich stärker unter dem Eindruck massiver Gefährdungen der Cybersicherheit als noch vor ein paar Jahren. Viele haben schon selbst bittere Erfahrungen mit Ransomware-Attacken oder Komplettausfällen ihrer IT gemacht, andere haben die Horrorstories bei ihren Kunden oder Lieferanten miterlebt. Aber absolut niemand ist mehr so naiv zu glauben, dass so etwas bei seinem eigenen Unternehmen nicht passieren kann.
Zum anderen sind wir aber einfach bereits weit fortgeschritten, was die Anpassung an internationale Standards der Informationssicherheit angeht – und letztendlich ist die NIS2 nichts anderes als eine gesetzliche Annäherung an dieselben Normen, die bei vielen Unternehmen ohnehin schon in Verwendung sind. Ich habe immer noch die Evaluierung der IT-Sicherheitsgesetze durch das BSI im Ohr, nach der über 86 Prozent der befragten Unternehmen aus den unterschiedlichen Sektoren der kritischen Infrastruktur erklärte Anhänger der gesetzlichen Vorgaben sind, weil sie damit eine solide Grundlage für die Stärkung ihrer Cybersicherheit bekommen haben. Damit kann man arbeiten.
Wer mehr über die NIS2 Durchführungsverordnung (EU) 2024/2690 und den ENISA „Implementing Guide“ erfahren möchte, sollte die KG-Sitzung am 13. Februar 2025 im DE-CIX Meeting Center in Frankfurt nicht verpassen.
Hier geht es zur Anmeldung.
