Die Gesetzgeber in Deutschland und Europa rücken die Cybersecurity aktuell in den Fokus einer Reihe neuer Gesetzesinitiativen. Dr. Justus Gaden – Rechtsanwalt bei der Berliner Kanzlei »Büsing Müffelmann und Theye« und Mitautor des Standardwerks »Rechtshandbuch Cybersecurity« fasst im Interview die wichtigsten Neuerungen zusammen und erläutert, worauf Unternehmen in den kommenden Monaten besonders achten sollten.

 

Ganz egal, welche Newsseite man am Frühstückstisch öffnet, die Chance ist hoch, das Thema NIS2 ganz oben in den Schlagzeilen zu finden. Was hat es mit dieser neuen EU-Richtlinie auf sich, und warum steht sie so im Mittelpunkt des Interesses?

Um das zu beantworten, müssen wir ein bisschen zurückgehen: Schon 2016 hat das EU-Parlament in der Erstfassung der Network and Information Security Directive, kurz: NIS, Cybersecurity-Mindeststandards für die Betreiber kritischer Infrastrukturen definiert. Nachdem sich die Cybersicherheitslage in vielen Bereichen trotz aller Anstrengungen dramatisch verschärft hat, Stichwort: Ransomware, wurde jetzt die Neuerung der NIS auf den Weg gebracht. Und auch wenn die Umsetzung der Richtlinie in Deutschland wohl erst im Oktober 2024 erfolgen wird – der genaue Wortlaut also noch nicht abzusehen ist –, ist schon jetzt klar, dass die Anforderungen deutlich strenger sein werden als bisher. Hinzu kommt, dass auch wesentlich mehr Branchen und Unternehmen unter den Geltungsbereich fallen. Daher das breite öffentliche Interesse.

 

Dann bleiben wir doch gleich beim Geltungsbereich. Wer ist denn von der NIS2 betroffen?

Der erweiterte Geltungsbereich ist wahrscheinlich die wichtigste Neuerung der Richtlinie: Denn anders als die ursprüngliche NIS, die ausschließlich für sogenannte »Wesentliche KRITIS-Einrichtungen« wie Energieversorger, Wasserwerke oder Krankenhäuser galt, betrifft die NIS2 auch sogenannte »Weitere kritische Sektoren« wie Postdienstleister, Abfallwirtschaftsunternehmen und viele mehr. Und, was noch schwerer wiegt: Auch die Lieferketten der regulierten Betriebe müssen den neuen Vorgaben genügen. Also etwa der Logistiker, der die Kantine eines Kraftwerks anfährt, der Entsorger, der für eine Bank tätig ist, oder der Softwarelieferant eines Telcos. Das hebt die Tragweite der Richtlinie natürlich auf ein neues Niveau.

 

Das ist in der Tat eine ganz neue Perspektive. Dann lassen Sie uns nun auf die Maßnahmen schauen. Was wird sich da ändern?

Die NIS2 nimmt die Unternehmen sowohl mit Blick auf die technischen als auch auf die organisatorischen Maßnahmen stärker in die Pflicht. Bei den technischen Maßnahmen rücken zum einen Lösungen für den Schutz der Datenzugriffe noch mehr in den Fokus – wie zum Beispiel Multi-Faktor-Authentifizierung, Verschlüsselung und Zugriffskontrolle – und zum anderen die im Kontext kritischer Infrastrukturen eminent wichtige Kommunikationssicherheit. Bei den organisatorischen Maßnahmen liegt der Schwerpunkt auf dem Risikomanagement und allen damit verwandten Ausstrahleffekten – also Themen wie der Business Continuity, dem Krisen- und Notfallmanagement und natürlich dem Informationssicherheitsmanagement. Ein sehr wichtiger Aspekt ist auch die Verschärfung der Meldepflichten: Die NIS2 sieht vor, dass jeder erhebliche Sicherheitsvorfall innerhalb von 24 Stunden an die zuständige Behörde zu melden ist.

 

Und wenn ein betroffenes Unternehmen diesen Anforderungen nicht nachkommt?

Dann ist Vorsicht geboten. Die NIS2 ist alles andere als ein Papiertiger. Der Gesetzgeber orientiert sich bei der Ahndung von Verstößen an den bei der DSGVO-Einführung angelegten Bußgeldern, die sich in der Praxis offenbar als angemessen abschreckend bewährt haben. Auch bei der NIS2 drohen den »Wesentlichen Einrichtungen« bei Verstößen Strafzahlungen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Vorjahresumsatzes. Die »Weiteren kritischen Unternehmen« kommen mit maximal 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes etwas günstiger weg – aber das Signal ist klar: Die Vorgaben sind sehr ernst gemeint.

 

Unternehmen sind also gut beraten, das Thema nicht auf die leichte Schulter zu nehmen. Wo sollten sie den anfangen?

Ein guter Anfang wäre es, einen Blick in den Anhang der Richtlinie zuwerfen – denn da findet sich eine detaillierte Liste aller betroffenen Branchen und Sektoren, die Unternehmen sorgfältig prüfen sollten. Und zwar nicht nur mit Blick darauf, ob sie selbst in eine der genannten Sparten fallen, sondern auch darauf, ob eigene Kunden betroffen sind. Denn wenn ja – Stichwort Lieferkette – ist es wahrscheinlich nur eine Frage der Zeit, bis sich die entsprechenden Kunden melden, um ihrerseits die Umsetzung der Vorgaben einzufordern. Auf diese Gespräche und die darauf folgenden Vertragsverhandlungen sollten sich gerade kleine Unternehmen frühzeitig und gut vorbereiten, gegebenenfalls mit externen Experten. Denn da werden wichtige Weichen für die Zukunft gestellt.

 

Wie sieht es denn terminlich aus – läuft den von der NIS2 betroffenen Unternehmen schon die Zeit davon, oder bleibt ihnen noch genug Luft, um das Thema gelassen anzugehen?

Im Moment ist sicher noch kein Kind in den Brunnen gefallen. Das heißt aber nicht, dass sich die Unternehmen zu viel Zeit lassen sollten. Denn die technischen und organisatorischen Maßnahmen, die es mit der NIS2 umzusetzen gilt, haben es in sich: Der Aufbau eines Risikomanagements etwa greift sehr tief in die Prozesse eines Unternehmens ein und nimmt Monate in Anspruch. Auch die technischen Maßnahmen sind alles andere als trivial: Die Einführung einer unternehmensweiten Multi-Faktor-Authentifizierung ist ja ebenfalls ein erhebliches Investment – sowohl finanziell als auch mit Blick auf die personellen Ressourcen. Und auch die bereits angesprochene Aktualisierung der Lieferantenverträge ist etwas, was man nicht unterschätzen sollte. Ich würde also sagen: Es gibt noch keinen Grund zur Panik, aber auch keine Zeit zum Ausruhen.

 

…zumal die NIS ja nicht die einzige Gesetzesinitiative ist, die europäische Unternehmen aktuell im Blick haben sollten, richtig?

Richtig. Bei der NIS2-Richtlinie steht ja primär die Sicherstellung der Funktionsfähigkeit des Marktes im Vordergrund. Die Themen Digitalisierung und Cybersicherheit strahlen aber auch auf viele weitere Bereiche des öffentlichen und des privaten Lebens aus, und auch diese Effekte muss der Gesetzgeber regeln. Es gibt aktuell also eine Reihe weiterer gesetzlicher Initiativen. Zu den bekanntesten davon gehört der Cybersecurity Resilience Act zum Schutz von webfähigen IoT-Geräten. Aber auch im Verbraucherschutz gibt es wichtige Bestrebungen, die zivilrechtliche Vertragsgestaltung neu zu regeln, die uns alle schon bald im Alltag betreffen werden.

 

Sprechen wir zunächst über den Cyber Resilience Act – könnten Sie uns diesen kurz zusammenfassen?

Gerne. Auch diese Initiative geht auf das europäische Parlament zurück, das sich schon seit einiger Zeit über die steigende Zahl unzureichend geschützter digitaler und webfähiger Produkte besorgt zeigt. Mit dem im September 2022 als Vorschlag eingebrachten Cyber Resilience Act hat man nun die Konsequenz aus der Entwicklung gezogen. Ziel der Regulierungsbestrebungen ist es, die Hersteller von Produkten mit digitalen Komponenten stärker in die Pflicht zu nehmen, um die Cybersicherheit der Hardware und der Software zu verbessern und von Anfang an im Design zu verankern. So sollen die Weichen für einen sicheren Einsatz gestellt werden. Spannend ist aus unserer Sicht vor allem, dass auch dieses Gesetz mit dem Security-by-Design-Prinzip einen relativ starken Fokus auf das Management der Lieferketten legt. Und auch die Höhe der geplanten Bußgelder lässt aufhorchen: Die Rede ist von bis zu 15 Millionen Euro oder 2,5 % des Vorjahresumsatzes, was natürlich einen enormen Druck auf die Unternehmen ausüben würde.

 

Und auch im Zivilrecht rückt das Thema Cybersecurity in den Fokus?

Das stimmt. Mit Blick auf den Verbraucherschutz zeigt die Legislative klar den Willen, künftig nur noch sichere Hardware und Software in Umlauf zu lassen. Die Stoßrichtung der entsprechenden Initiativen geht dahin, Security-Schwachstellen von Produkten künftig juristisch als Produktmangel zu deuten. Das wäre relativ einfach umsetzbar, hätte aber weitreichende Implikationen: Denn in diesem Szenario hätten Kunden die Möglichkeit, bei unsicheren Produkten vom Kauf zurückzutreten oder sie vom Hersteller nachbessern zu lassen. Mit anderen Worten: Wer solche Produkte in Umlauf bringt, wäre verpflichtet, Security-Updates über den gesamten Produktlebenszyklus hinweg bereitzustellen. Für kleine und mittelständische Betriebe und Zulieferer ist das ein hochgradig heikles Thema.

 

Vielen Dank für diesen umfassenden Überblick. Würden Sie für unsere Leser noch ein kurzes Fazit ziehen?

Wenn man sich die weltweite Cybersecurity-Gesetzgebung mit ihren zunehmend strengen Vorgaben ansieht, lässt die Entwicklung eigentlich nur einen Schluss zu: Cybersecurity ist jetzt endgültig Chefsache. Kein Geschäftsführer wird es sich in Zukunft noch leisten können, dieses strategische Thema vollständig zu delegieren und sich aus der Verantwortung zu ziehen. Denn wer die Cybersecurity vernachlässigt, läuft nicht nur Gefahr, von Hackern lahmgelegt zu werden – sondern auch, aufgrund von Compliance-Verstößen mit enormen Bußgeldern belegt zu werden. Und sollte ihm Fahrlässigkeit nachgewiesen werden, steht durch die Geschäftsführerhaftung ja auch die eigene Existenz auf dem Spiel. Die Empfehlung kann also nur lauten, das Thema sehr ernst zu nehmen, die nahenden Umsetzungsfristen im Auge zu behalten und die richtigen Partner für die Umsetzung ins Boot zu holen.

Herzlichen Dank für das Gespräch.

 

 

Möchten Sie mehr über die NIS2 erfahren?

RA Dr. Justus Gaden steht Ihnen am 11. Oktober auf der it-sa in Nürnberg am Stand von Westcon-Comstor (Halle 6, Stand 6-316) für Fragen zur Cybergesetzgebung zu Verfügung.

• Darüber hinaus hält er um 11:00 Uhr im Knowledge Forum A den Vortrag »NIS2 & Co. – Cybersecurity als gesetzliche Pflicht«
• Um 16:00 Uhr informiert er bei einer Coffee-Talk-Session am Stand von Westcon-Comstor zum Thema NIS2

Interessierte Leser können sich unter https://p.westconcomstor.com/de_corp_it-sa-expo-congress-23.html eine Tageskarte sichern und einen persönlichen Termin vereinbaren.

 

 

 

»Den Integratoren kommt bei der NIS2-Compliance eine Schlüsselrolle zu«

Robert Jung, Managing Director DACH & EE beim Value-Added Distributor Westcon, zur Rolle des Channels bei der Umsetzung der NIS2-Vorgaben

Herr Jung – wie macht sich die anstehende Neuerung der NIS2 im Channel bemerkbar?

Als Spezialdistributor für IT-Security haben wir die Entwicklungen rund um die neue Gesetzgebung natürlich sehr genau im Blick. Aktuell beobachten wir vor allem ein hohes Maß an Verunsicherung auf Seiten der Endkunden – einfach, weil für sie derzeit weder absehbar ist, welche Branchen und Unternehmensgrößen genau betroffen sein werden, noch wie die Anforderungen genau aussehen. Hier sollten die Systemintegratoren und IT-Dienstleister frühzeitig aktiv werden und ihren Kunden als Trusted Advisor bei den anstehenden Weichenstellungen zur Seite stehen.

Welche Hilfestellungen kann der Channel denn konkret leisten?

Nun, ein wichtiger erster Schritt ist es natürlich, die potenziell betroffenen Kunden auf die anstehenden neuen Bestimmungen und deren Implikationen hinzuweisen – immerhin bleibt jetzt noch genug Zeit, um alle erforderlichen Maßnahmen einzuleiten und bis 2024 umzusetzen. Anschließend gilt es gemeinsam evaluieren, in welchen Bereichen konkret Handlungsbedarf besteht und die notwendigen Schritte zu planen, zu priorisieren und anzugehen.

Sind die IT-Dienstleister schon so tief im Thema, dass sie diese Beratungsleistungen erbringen können?

Das ist natürlich von Partner zu Partner unterschiedlich. Viele Systemintegratoren haben längst eigene Kompetenzzentren aufgebaut und beraten ihre Kunden schon sehr erfolgreich bei der Planung der NIS2-Umsetzung. Andere gehen das Thema neu an und sind erst noch dabei, intern das erforderliche Know-how aufzubauen. Als VAD stehen wir diesen Partnern natürlich gerne zur Seite – sei es, indem wir sie bei individuellen Schulungen mit den neuen Vorgaben vertraut machen oder indem wir ihnen in dieser frühen Phase unsere eigenen Fachleute oder externe Experten zur Seite stellen. Das Thema NIS2 wird uns auf Jahre hinaus begleiten – und der Channel ist gut beraten, sich in diesem Bereich frühzeitig als kompetenter Ansprechpartner zu positionieren.