NIS2 - Der letzte Countdown. Noch 4 Monate zur Umsetzung der neuen Richtlinie zur Regulierung der Cybersicherheit

Ein großer Prozentsatz der Unternehmen weiß immer noch nicht über die ihnen auferlegten Pflichten im Zusammenhang mit NIS2 Bescheid. Gleichzeitig sind sich viele Experten einig, dass viele Unternehmen nicht in der Lage sind, den ihnen auferlegten Anforderungen gerecht zu werden. Dies wurde während des Europäischen Wirtschaftskongresses in Katowice thematisiert.

Der Entwurf zur Änderung des Gesetzes über das Nationale Cybersicherheitssystem (KSC) führt finanzielle Verantwortung für Führungskräfte in Schlüsselinstitutionen ein, wenn sie die ihnen obliegenden Pflichten im Bereich der digitalen Sicherheit nicht erfüllen. Ein Experte empfiehlt sieben Schritte, um die neuen Anforderungen zu erfüllen.

Unternehmer sind noch immer uninformiert

Nach Meinung vieler Experten ist unser Vorbereitungsstand für die Implementierung der NIS2-Richtlinie noch immer unzureichend. Experten betonen, dass viele Unternehmen nicht nur nicht bereit sind, die neuen Vorschriften zu erfüllen, sondern auch über ihre Pflichten im Unklaren sind. Die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Richtlinie umzusetzen. Im April wurde der Entwurf zur Änderung des Gesetzes über das Nationale Cybersicherheitssystem vorgestellt. Somit bleibt wenig Zeit, um die notwendigen technischen und organisatorischen Lösungen einzuführen. Insgesamt wird die Implementierung etwa 38.000 Unternehmen und Institutionen betreffen.

Ich schätze, dass sogar ein Viertel der Unternehmen in Polen nicht weiß, dass die NIS2-Richtlinie sie betreffen wird. Das ist ein sehr pessimistisches Ergebnis, da dieses Thema seit vielen Monaten diskutiert wird. Es lohnt sich, diese Angelegenheit zu überprüfen, da das neue Gesetz die Verantwortung für die Nichterfüllung der Anforderungen im Falle eines Sicherheitsverstoßes den Unternehmensvorständen oder dem Management auferlegt.

Paweł Śmigielski,

Country Manager Stormshield

Unternehmen kommen den Anforderungen nicht nach

Andererseits wurde auf dem Panel „Cybersicherheit“ des Europäischen Wirtschaftskongresses in Katowice erwähnt, dass viele Unternehmen nicht in der Lage sind, den ihnen auferlegten Anforderungen gerecht zu werden. Artur Józefiak, Vizepräsident von Accenture in Polen, erklärte, dass insbesondere im Fall von KMUs die Verantwortung für die digitale Sicherheit zunehmend auf den Staat übergeht. Dies erfordere die Schaffung eines spezialisierten Clusters in der PPP-Formel, da diese Unternehmen ohne institutionelle Unterstützung den Bedrohungen nicht wirksam begegnen können. Krzysztof Malesa, National Security Officer von Microsoft, betonte die Notwendigkeit rechtlicher Anforderungen als Motivator für Maßnahmen und dass auch kleine Unternehmen Verantwortung für ihre Sicherheit übernehmen müssen, die nicht auf den Staat abgewälzt werden kann.

Es gibt keinen Widerspruch zwischen der Rolle des Staates und der Eigenverantwortung der Unternehmen für die Cybersicherheit. Wir brauchen sowohl ein größeres Bewusstsein der Unternehmer als auch staatliche Unterstützung bei der Verfolgung von Bedrohungen, der Aufdeckung von Vorfällen und deren oft geopolitischen Motiven

Paweł Jurek,

Geschäftsleiter bei DAGMA IT Security

Laut CERT Polska verdoppelte sich im vergangenen Jahr die Zahl der Vorfälle und Ransomware-Fälle im Vergleich zu 2022.

Vorfälle gab es, gibt es und wird es geben. Die NIS2-Richtlinie legt großen Wert auf die Erstellung von Kontinuitätsplänen und den Aufbau von Cyberresilienz-Kompetenzen. Dies wird in Krisensituationen helfen, den normalen Betrieb wiederherzustellen. Tatsächlich ist dies eine Antwort auf die Bedürfnisse, da fast jedes Unternehmen und jede Institution Cyberkriminalität ausgesetzt ist.

Aleksander Kostuch,

Experte bei Stormshield

Schulungen und Audits helfen, das Thema zu verstehen

In diesem Zusammenhang erscheint es sinnvoll, für Führungskräfte in Schlüsselinstitutionen eine jährliche Schulung zur Cybersicherheit und zum Erwerb aktueller Kenntnisse in diesem Bereich verpflichtend zu machen. Dies wird auch im vorgelegten Änderungsentwurf erwähnt.

Es ist wichtig, dass solche Schulungen von den Teilnehmern ernst genommen werden und nicht nur als eine Formalität betrachtet werden, aus der sie wenig mitnehmen. Die Verantwortung liegt bei ihnen und der Gesetzgeber verhängt Strafen für die Nichterfüllung der Pflichten. Es gibt ein Mindestmaß an Strafen, was deren Unvermeidbarkeit bedeutet. Gleichzeitig ist die gesetzliche Strafe nur ein Teil der Verantwortung, unabhängig von den Schäden, die im Falle eines erfolgreichen Angriffs entstehen, dessen Wahrscheinlichkeit durch fehlende Schutzmaßnahmen erhöht wird.

Paweł Śmigielski,

Country Manager Stormshield

Aleksander Kostuch, Ingenieur bei Stormshield, weist darauf hin, dass der Entwurf zur Änderung des KSC-Gesetzes gemäß NIS2 die Anwendung geeigneter und verhältnismäßiger technischer, betrieblicher und organisatorischer Maßnahmen zur Risikobewältigung fordert. Ziel des Gesetzgebers ist es, Systeme einzuführen, die realen Schutz vor Cyberbedrohungen bieten und die Erbringung von Dienstleistungen für die Gesellschaft in Bereichen wie Gesundheit, Ernährung, Wasserwirtschaft, Energie, Transport, öffentliche Verwaltung und digitale Dienste sicherstellen.

Die betroffenen Unternehmen müssen Lösungen implementieren, um das erforderliche Sicherheitsniveau für Netzwerke und IT-Systeme zu gewährleisten, das ihrer Tätigkeit entspricht. Gleichzeitig verlangt der Entwurf auch eine kontinuierliche Anpassung der Sicherheitsmaßnahmen an die sich ändernden Bedrohungen und Technologien. Daher werden Schulungen eine wichtige Rolle spielen, um sich in diesem Bereich zurechtzufinden

Aleksander Kostuch,

Experte bei Stormshield

Empfehlungen zur Vorbereitung auf die NIS2-Anforderungen

1. Identifikation, ob man ein Schlüsselunternehmen oder eine wichtige Einrichtung ist (Selbstanalyse oder Unterstützung durch Drittunternehmen - rechtliche Analyse).
2. Bildung eines Teams, das für die Vorbereitung der Organisation auf die Umsetzung der NIS2-Anforderungen verantwortlich ist, sowie eines Teams, das für die Aufrechterhaltung des Informationssicherheitsmanagementsystems, die Berichterstattung über Vorfälle und die Zusammenarbeit mit CSIRTs zuständig ist.
3. Inventarisierung der vorhandenen Hardware, Software, Prozesse und Dienstleistungen. Überprüfung, welche dieser Elemente der Organisation bei der Vorbereitung auf die Erfüllung der NIS2-Anforderungen helfen können.
4. Durchführung einer Risikobewertung der Elemente aus Punkt 3.
5. Planung von Prozessen (z.B. Erstellung von Kontinuitätsplänen), Kauf und Implementierung von Lösungen zur Überwachung und Reaktion auf die in der Analyse definierten Risiken.
6. Festlegung möglicher Vorfälle sowie der Pflichten in Bezug auf deren Reaktion und Berichterstattung.
7. Feststellung, welche der oben genannten Punkte mit den Ressourcen der Organisation umgesetzt werden können und für welche externe Berater erforderlich sind.