Der Countdown zur Umsetzung der neue EU-Richtlinien zur Netzwerk- und Informationssicherheit (NIS2) läuft. Bis zum 17. Oktober 2024 müssen die EU-Vorgaben, die seit Dezember 2022 gelten, in nationales Recht umgesetzt werden. Hierzulande existieren dazu bislang nur Referentenentwürfe in Form des NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz ("NIS2UmsuCG"), obwohl das Gesetz laut ursprünglicher Planung zum 1. Oktober 2024 Inkrafttreten sollte.
NIS2-Gesetz erst 2025?
Vor diesem Hintergrund werden erste Stimmen laut, die wie die Wirtschaftskanzlei Heuking vermuten, dass eine fristgemäße Umsetzung des NIS2UmsuCG bis Oktober nicht mehr zu erwarten sei. Eine Meinung, die auch die Website NIS2-Navigator vertritt und zusätzlich davor warnt, dass es auch in anderen EU-Mitgliedsstaaten mit der rechtzeitigen Umsetzung der NIS2-Richtlinie in nationales Recht hapert.
Compliance vorbereiten
Für europaweit tätige Unternehmen könnte damit im Oktober die Situation entstehen, dass in einigen Ländern bereits NIS-2-konforme Gesetze existieren, die einzuhalten sind und in anderen Ländern dagegen nicht. Deshalb, so empfiehlt etwa das auf KI-Lösungen für die Cybersicherheit spezialisierte Unternehmen Darktrace, sollten sich Unternehmen bereits heute auf das Thema NIS-Compliance vorbereiten.
Seinen Ratschlag untermauert Darktrace mit zwei Argumenten: Zum einen bleibt, wenn die entsprechenden nationalen Gesetze verabschiedet werden, kaum mehr Zeit zur Umsetzung. Zum anderen drohen bei Verstößen saftige Strafen. So sieht die NIS2-Richtlinie der EU einen Strafrahmen von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes vor. Dabei kann die Unternehmensleitung bei Verstößen persönlich haftbar gemacht werden.
Bis zu 40.000 Betroffene
Glaubt man den Zahlen des Bundesinnenministeriums so sind allein in Deutschland von NIS2 rund 29.000 Unternehmen und öffentliche Einrichtungen betroffen. Der TÜV Nord geht sogar von bis zu 40.000 Betroffenen aus. Dabei stellt die NIS2 rechtsverbindliche Anforderungen für die Cybersicherheit dar.
Harte Meldepflichten
So gelten enge Fristen bei Meldepflichten. Innerhalb von 24 Stunden nach Erkennung eines erheblichen Vorfalls ist ein erster Bericht oder eine "Frühwarnung" an die zuständige nationale Behörde oder das Computer Security Incident Response Team (CSIRT) zu übermitteln. Zudem erhalten Aufsichtsbehörden weitreichende Befugnisse, einschließlich Inspektionen vor Ort.
Des Weiteren fordert die Richtlinie Maßnahmen zum Risikomanagement. Diese entsprechen zwar üblichen bewährten Verfahren. Aber insbesondere die vielen Unternehmen, welche erstmals unter die NIS2 fallen, müssen ihre Cybersicherheitskapazitäten prüfen und bei Bedarf erweitern. Dafür gibt es verschiedene Tools, Best Practices und Frameworks, die Unternehmen nutzen können.
Innovationen fördern
Da lässt die NIS2 relativ Spielraum und fordert lediglich, dass "die Mitgliedstaaten den Einsatz jeglicher innovativen Technologie, einschließlich künstlicher Intelligenz, fördern sollten". Dabei ist zu bedenken, dass der vorliegende NIS2-Text aus dem Dezember 2022 stammt, also aus einer Zeit, bevor GenAI seinen Siegeszug in der IT startete.
Aktiver Schutz gefordert
Einen anderen wichtigen Punkt in der NIS2-Richtlinie bildet der aktive Cyberschutz. Dieser wird definiert als "die aktive Verhütung, Erkennung, Überwachung, Analyse und Begrenzung von Vorfällen bei der Netzsicherheit". Damit reicht ein passiver Schutz eindeutig nicht mehr aus. Statt auf Angriffe zu warten und darauf zu reagieren, müssen Unternehmen aktiv nach Schwachstellen, Attacken und Anzeichen für Kompromittierungen suchen.
Ein solcher Schutz lässt sich etwa mit Hilfe selbstlernender KI-Technologie verwirklichen. Dies reicht von der proaktiven Härtung der Abwehrmaßnahmen über die Erkennung von Bedrohungen und die Reaktion auf Angriffe in Echtzeit bis hin zur schnellen Wiederherstellung von Daten und Systemen.