Warum sich CEOs NIS2 unters Kopfkissen legen und sich von Excel-Listen verabschieden sollten
Wir leben in Zeiten, in denen IT-Dienstleister von Passwort-ratenden Anime-Hackern geknackt werden und Bundeswehr-Generäle über WebEx plaudern. Legen wir aber Optimismus an den Tag – bis zum Oktober 2024 sind solche Fauxpas Vergangenheit. Denn dann kommt EU NIS2. NIS2 steht für die „Directive (EU) 2022/2555″. Auch bekannt als die zweite Richtlinie über die Sicherheit von Netz- und Informationssystemen. Diese Richtlinie soll die Cyber-Resilienz stärken und hat zweifellos das Potenzial dazu. Wer aber schon Probleme hatte, die 2018 erlassene DSGVO umzusetzen, darf sich schon jetzt ein dickes Fell zulegen.
NIS2: Ein Blick auf die EU-Richtlinie für die Cybersicherheit
Wer unter die Kriterien von NIS2 fällt, muss einen Cybersicherheitsbeauftragten ernennen, Risikomanagementsysteme implementieren, IT-Notfallteams bilden und Dienstleister regelmäßig auditieren. An NIS2 wird sehr deutlich, dass Cybersecurity etwas anderes ist als IT-Sicherheit. Ist Letzteres eine technische Angelegenheit, hat Cybersecurity eine strategische Priorität für das ganze Unternehmen. Das bedeutet, NIS2 ist Boss-Chef-Sache. Wo CISOs direkt an CEOs reporten, sind die Vorrausetzungen schon mal gut, um die Reaktionsfähigkeit auf Cyberbedrohungen zu verbessern. Cybersicherheit sollte als integraler Bestandteil der Unternehmensstrategie betrachtet werden und nicht als nachgelagerte Funktion. Durch die Positionierung des CISOs neben dem CIO auf der Exekutivebene erhalten Sicherheitsbedenken die nötige Aufmerksamkeit und Ressourcen, um das Unternehmen umfassend zu schützen.
Herausforderungen und Potenziale der NIS2-Implementierung in Europa
Für Europa hat Forrester da allerdings schlechte Nachrichten: Nur 21 % der europäischen CISO berichten direkt an CEO. 40 % sind noch immer in die Struktur des CIOs eingegliedert. Diese Konstellation kann zu Verzögerungen in der Entscheidungsfindung und zu Konflikten bei der Ressourcenzuteilung führen, da die Cybersicherheit in direkter Konkurrenz zu anderen IT-Prioritäten steht. Mit der Erweiterung der NIS2-Definition kritischer Infrastrukturen sind nicht nur traditionelle Bereiche wie Energie, Gesundheit und Transport betroffen, sondern auch neue Sektoren wie Post- und Kurierdienste, digitale Dienste und die Lebensmittelindustrie. Geschätzt 40.000 Unternehmen in Deutschland müssen sich auf neue, umfassende Cybersicherheitspflichten vorbereiten, die weit über die IT-Abteilung hinausgehen. 40 % von 40.000 – das sind 16.000 deutsche Unternehmen, die theoretisch schon mal größere Ressourcenkämpfe – mutmaßlich mit Excel, E-Mail und per Telefon ausfechten müssen.
Die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, bringt es auf den Punkt: Beim Schutz vor den Folgen eines Cyberangriffs gibt es kein Maßnahmen–, sondern ein Umsetzungsproblem. Manches Unternehmen glaubt das BSI sei für die Verteidigung von Unternehmen zuständig. Unternehmen, die erkannt haben, dass sie selbst für ihre Sicherheit sorgen müssen, scheitern in der Praxis an Kompetenzverteilung: Wer muss im Falle des Falles was bis wann tun? In Anbetracht der steigenden Komplexität und des Umfangs von Cyberbedrohungen müssen CIOs, CISOs und CEOs als Sicherheits- und Risikomanager (SRM) zusammenarbeiten, um eine Kultur der Cybersicherheit zu fördern, die über die IT-Abteilung hinausgeht und das gesamte Unternehmen einbezieht – ansonsten sind folgende, die NIS2 umfassende Disziplinen nicht zu bewältigen:
Cyber-Risikomanagement: Es ist notwendig, Risikomanagementprozesse zu etablieren, um Cyber-Risiken zu verwalten und Bedrohungen für kritische Dienste zu mindern. Sowohl die EU-Staaten als auch die Europäische Agentur für Cybersicherheit (ENISA) werden koordinierte Sicherheitsrisikobewertungen kritischer Lieferketten durchführen. Diese Bewertungen werden sowohl technische als auch, wenn anwendbar, nichttechnische Risikofaktoren berücksichtigen.
Unternehmensverantwortung: Interne Berichtsmechanismen sollen eingerichtet werden, um das Top-Management über Risikoexposition und Sicherheitslage zu informieren und so die Verantwortlichkeit zu fördern. Es sollen Strukturen geschaffen werden, die es dem Unternehmensmanagement ermöglichen, Cybersicherheitsmaßnahmen zu überwachen, zu genehmigen und auf Cyber-Risiken zu reagieren.
Meldepflichten: Externe Berichtsfähigkeiten sollen etabliert werden, um den Anforderungen an die Berichterstattung von Sicherheitsvorfällen gerecht zu werden und die Einhaltung der NIS2-Richtlinie zu gewährleisten. Prozesse für die umgehende Meldung von Sicherheitsvorfällen mit erheblichen Auswirkungen auf die Dienstleistung oder die Empfänger müssen etabliert werden. Die zuständigen Behörden könnten dann den Vorfall bewerten und den betroffenen Betreibern oder Anbietern Anleitungen geben.
Business Continuity: Es müssen Pläne entwickelt werden, die Überlegungen zum Backup-Management, zur Katastrophenwiederherstellung und zum Krisenmanagement beinhalten, um die Geschäftskontinuität im Falle von Cyber-Vorfällen zu gewährleisten.
Und wer mischt dabei mit?
Vorstand und Geschäftsführung (CEO, CFO, COO): Die oberste Führungsebene muss ein tiefgreifendes Verständnis für die Bedeutung der Cybersicherheit entwickeln und diese in die Unternehmensstrategie integrieren. Angesichts der potenziellen Haftung bei Verstößen gegen die NIS2-Richtlinie ist es entscheidend, dass die Geschäftsführung ein aktives Interesse an der Umsetzung und Aufrechterhaltung der Cybersicherheitsmaßnahmen zeigt.
Rechts- und Compliance-Abteilungen: Diese Teams spielen eine entscheidende Rolle bei der Interpretation der NIS2-Richtlinie und deren Auswirkungen auf das Unternehmen. Sie müssen sicherstellen, dass alle rechtlichen und regulatorischen Anforderungen verstanden und umgesetzt werden, und dienen als Bindeglied zwischen der Geschäftsführung und den technischen Teams.
Personalabteilung (HR): Angesichts des Fachkräftemangels im Bereich der Cybersicherheit muss die Personalabteilung Strategien entwickeln, um Talente zu gewinnen, zu entwickeln und zu halten. Zudem ist HR dafür verantwortlich, eine Kultur der Cybersicherheitsbewusstheit im gesamten Unternehmen zu fördern, indem regelmäßige Schulungen und Sensibilisierungsprogramme für alle Mitarbeiter angeboten werden.
Betriebs- und Facility-Management: Insbesondere in Sektoren, die neu unter die Definition der kritischen Infrastruktur fallen, muss das Betriebsmanagement die physische Sicherheit und die Sicherheit der Betriebstechnologie (OT) berücksichtigen, um Schwachstellen zu minimieren.
Produkt- und Dienstleistungsentwicklung: Teams, die für die Entwicklung neuer Produkte und Dienstleistungen verantwortlich sind, müssen von Anfang an Sicherheitsüberlegungen in den Entwicklungsprozess einbeziehen („Security by Design“). Dies ist besonders wichtig für Unternehmen in den neu hinzugekommenen Sektoren wie digitale Dienste, die unter die NIS2-Richtlinie fallen.
Lieferketten- und Drittanbieter-Management: Unternehmen müssen die Sicherheitspraktiken ihrer Partner und Lieferanten evaluieren und überwachen, da diese ebenfalls Einfallstore für Cyberbedrohungen darstellen können. Die Verantwortlichen für die Lieferkette müssen eng mit den Sicherheitsteams zusammenarbeiten, um Compliance und Risikomanagement in der gesamten Lieferkette zu gewährleisten.
Kundenservice und -support: Diese Teams müssen in der Lage sein, effektiv auf Sicherheitsvorfälle zu reagieren, die Kunden betreffen, und klare Kommunikationsstrategien im Falle eines Vorfalls haben.
Die Frage, die sich jene 40.000 Boss-Chefs nun stellen sollten, ist, wie sie wortwörtlich den Durchblick behalten. Die Motivation dazu ist klar beziffert: Die NIS2-Richtlinie sieht bei Nichteinhaltung ihrer Vorschriften erhebliche Strafen und Bußgelder vor. Für Sektoren, die als essenziell („Essential“) eingestuft werden, können Strafen von bis zu zehn Millionen Euro oder 2 % des weltweiten Jahresumsatzes des betroffenen Unternehmens verhängt werden. Je nachdem, welcher Betrag höher ist. Für die als wichtig („Important“) eingestuften Sektoren liegt die Höchststrafe bei sieben Millionen Euro oder 1,4 % des Umsatzes.
Empfehlung: Die Rolle eines integrierten Managementsystems in der Cybersicherheitsstrategie
Um den Anforderungen als CEO und der NIS2-Richtlinie gerecht zu werden – und eine effektive Cybersicherheitsstrategie zu implementieren – empfiehlt sich Geschäftsführern die Einführung eines integrierten Managementsystems. Ein solches System ermöglicht es, verschiedene Aspekte der Sicherheit und des Risikomanagements nahtlos zu verbinden und zu koordinieren.
Ein integriertes Managementsystem kann beispielsweise Standards wie ISO 27001 für Informationssicherheitsmanagement, ISO 22301 für Business Continuity Management und ISO 31000 für Risikomanagement umfassen. Durch die Integration dieser Standards können Unternehmen Synergien nutzen, Redundanzen vermeiden und eine ganzheitliche Herangehensweise an die Sicherheit gewährleisten.
Darüber hinaus erleichtert ein integriertes Managementsystem die Überwachung, Messung und kontinuierliche Verbesserung der Cybersicherheitsmaßnahmen. Es ermöglicht eine effiziente Nutzung von Ressourcen.
Holen Sie sich ein integriertes Managementsystem – Jonglieren können Sie im Zirkus.