Heute sollte es eigentlich so weit sein. Die NIS2-Richtlinie, die seit Januar 2023 in Kraft ist, hätte bis zum 17. Oktober 2024 von allen EU-Mitgliedstaaten in nationales Recht umgesetzt werden müssen. Doch schon seit einiger Zeit ist klar: Deutschland hält diese Frist nicht ein. Und nun?
Bislang haben nur Belgien, Ungarn, Lettland und Kroatien ihre nationalen Gesetze entsprechend angepasst – Deutschland ist also keineswegs das Schlusslicht unter den 23 noch verbleibenden EU-Mitgliedsstaaten. Einige, darunter auch Frankreich, Dänemark und die Niederlande, haben Verzögerungen angekündigt, so dass es mit der Umsetzung wohl frühestens Anfang 2025 weitergehen dürfte. Die Gründe dafür sind von Land zu Land unterschiedlich und reichen von politischen Unsicherheiten bis hin zum Umfang der legislativen Anpassungen.
Die Schwierigkeit liegt keineswegs – wie man vielleicht vermuten könnte – in der Komplexität der „neuen“ Regularien der NIS2-Richtlinie. Im Gegenteil: Einrichtungen, die bereits zuvor mit Informationssicherheit und Risikomanagement befasst waren, können auf bewährte Praktiken zurückgreifen. Der Katalog der Mindestanforderungen deckt sich in weiten Teilen mit etablierten Standards wie ISO 27001 und anderen Best Practices. Neu ist allerdings, dass konkrete Sicherheitsmaßnahmen nun direkt im Gesetz festgeschrieben werden – bisher waren für die Regulierung kritischer Infrastrukturen einzelne Sicherheitskataloge und Branchenstandards maßgeblich, während das Gesetz nur die Einhaltung des „Stands der Technik“ forderte. Jetzt werden den künftig zehntausenden verpflichteten Einrichtungen über alle NIS2-Sektoren die Vorgaben zur Stärkung ihrer Cybersicherheit unmissverständlich und weitgehend harmonisiert auferlegt.
Aufstieg in die Chefetage
Unmissverständlich auch: Die NIS2 fordert unbedingte Leitungsverantwortung, die Cybersicherheit wird Chefsache! Zwar betrachten die meisten Unternehmen Cybersicherheit bereits als wichtig, doch erst mit der NIS2-Richtlinie kann die Verantwortung dafür nicht mehr allein auf technische Experten oder IT-Abteilungen abgewälzt werden, sondern bleibt direkt in die Führungsebene eingebunden. Führungskräfte und Vorstände sind nun gesetzlich verpflichtet, die Umsetzung von Sicherheitsmaßnahmen zu überwachen und zu verantworten. Das schließt, ähnlich wie bei der Datenschutzgrundverordnung, auch eine persönliche Haftung der Geschäftsleitung ein, wenn diese es versäumt, ihr Unternehmen zur Einhaltung der Anforderungen anzuhalten. Das bedeutet, dass Cybersicherheit nicht mehr nur eine operative Aufgabe ist, sondern ein strategisches Thema, das auf höchster Ebene Priorität erhält. Ein echter Paradigmenwechsel, denn Cybersicherheit wird nun als essenzieller Bestandteil der Unternehmensführung betrachtet.
Aufschub ist teuer
Doch solange die Umsetzung der NIS2-Richtlinie weiter auf sich warten lässt, fehlen wichtige Anreize, die erforderlichen Maßnahmen in den Unternehmen und öffentlichen Einrichtungen fest zu verankern. Dabei hat die im Frühjahr 2023 erfolgte Evaluierung des letzten IT-Sicherheitsgesetzes durch das BSI deutlich gemacht, dass die gesetzlichen Anforderungen als wesentliche Verbesserung ihrer Sicherheit betrachtet werden: 83 Prozent der Betreiber kritischer Infrastrukturen hielten die vollständige Umsetzung aller gesetzlichen Vorgaben zur IT-Sicherheit für „sehr wichtig“ oder sogar „extrem wichtig“.
Die Verzögerung bei der Einbettung der NIS2-Regeln in den deutschen Rechtsrahmen schafft dagegen Unsicherheiten. Viele international tätige Unternehmen wissen nicht genau, welche Maßnahmen sie in welchem Land und ab welchem Zeitpunkt ergreifen müssen, um den Anforderungen zu entsprechen. Ein Beispiel: Wenn ein Sicherheitsvorfall in Deutschland auftritt, aber der belgischen Aufsichtsbehörde gemeldet werden muss, weil das Unternehmen dort seinen EU-Hauptsitz hat, droht ein Bußgeld, das einem inländischen Wettbewerber erspart bliebe. Bei bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes, die bei Nichteinhaltung der Sicherheitsanforderungen drohen, bedeutet das ein erhebliches Risiko für die Geschäftsleitungen.
Das Gute kommt vor dem Perfekten
Die Zeit drängt – nicht nur aus technischer, sondern auch aus rechtlicher und wirtschaftlicher Sicht. Um die Cybersicherheit in Europa nachhaltig zu stärken, ist es entscheidend, dass die NIS2-Richtlinie schnellstmöglich umgesetzt wird. Die Praxis der nächsten Jahre wird zeigen, wo Anpassungen und Nachbesserungen nötig sind. Angesichts des im Umlauf befindlichen Entwurfs der EU-Kommission für einen Durchführungsrechtsakt, der für die Branche der Anbieter digitaler Dienste jeweils konkrete Schwellen für die „Erheblichkeit“ von Sicherheitsvorfällen definiert, kann dieser Praxistest durchaus schmerzhaft sein. Einige der Richtwerte werden von Branchenvertretern als weltfremd und ungeeignet betrachtet, mit Ausreißern in beide Richtungen: entweder zu lax, so dass es in der Praxis nie zu einer Vorfallmeldung käme, oder zu scharf, mit dem Risiko dutzender Meldungen jeden Tag, für die es aus Perspektive der Betriebssicherheit überhaupt keine Veranlassung gäbe.
Die Cybersicherheitslandschaft ist dynamisch und entwickelt sich ständig weiter – genauso müssen auch die regulatorischen Maßnahmen flexibel und anpassungsfähig sein. Nur durch eine rasche Umsetzung der NIS2 und die Erfahrungen aus der Praxis können wir sicherstellen, dass zukünftige Bedrohungen rechtzeitig erkannt und adressiert werden. Das Perfekte sollte nicht zum Feind des Guten werden!