Interview mit PwC zur NIS2
„Prävention ist stets preiswerter als Reaktion“
Die Deadline für die NIS-2-Richtlinie und deren Anwendung durch betroffene Unternehmen rückt immer näher. Das deutsche Umsetzungsgesetz lässt jedoch noch auf sich warten. Was bedeutet das? Und welche Anforderungen gehen damit einher? PwC-Managerin Mailin von Knobelsdorff gibt Antwort.
connect professional: Mit hoher Wahrscheinlichkeit wird Deutschland die Umsetzung der NIS-2-Richtlinie bis zur gesetzten Frist, dem 17. Oktober 2024, nicht einhalten können. Was bedeutet das für Unternehmen?
Mailin von Knobelsdorff: Es kursieren in der Tat derzeit Gerüchte, dass sich die Umsetzung verzögern könnte. Trotzdem sollten sich Unternehmen nicht zurücklehnen – zumal die Verzögerung gegebenenfalls nur ein bis zwei Monate betragen könnte. Erschwerend kommt hinzu, dass Anfang Mai ein Entwurf eines NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes als Referentenentwurf1 des Bundesministeriums des Innern und für Heimat mit Bearbeitungsstand 07.05.2024 offiziell veröffentlicht wurde und auch dort ein Inkrafttreten mit Oktober 2024 festgeschrieben wird. Deswegen sollte man sich jetzt keineswegs in eine Wartestellung begeben.
Darüber hinaus gibt es auch noch eine Entscheidung des Europäischen Gerichtshofs, die besagt, dass selbst wenn Mitgliedstaaten diese Verzögerung in Kauf nehmen – wie es auch Dänemark und die Niederlande tun – dennoch die Anforderungen an das Melden von Vorfällen für Unternehmen schon vor der nationalen Umsetzung in Kraft treten sollen.
connect professional: Heißt zum Beispiel, wo man sich melden kann?
von Knobelsdorff: Genau. Zwar ist das alles gar nicht so einfach vorstellbar vor dem Hintergrund, dass die Meldeinfrastruktur vom BSI wahrscheinlich noch gar nicht ausreichend etabliert worden ist. Nichtsdestotrotz sollte man sich rechtzeitig vorbereiten und die Vorgaben ernst nehmen. Angreifende nehmen auch keine Rücksicht auf EU-Umsetzungsfristen oder dergleichen.
Nicht zu unterschätzen ist auch, dass es Zeit in Anspruch nimmt, eine 24/7-Taskforce aus Datenschützern, IT-lern, Juristen aufzubauen, Mitarbeitende zu schulen und vor allem Notfälle zu üben, üben und nochmals zu üben. Das beobachten wir auch immer wieder bei Kunden, die wir beraten.
connect professional: Wie können Unternehmen nachweisen, dass sie den Anforderungen der NIS-2 entsprochen haben?
von Knobelsdorff: Den deutschen Entwürfen entsprechend müssen Betreiber kritischer Anlagen alle drei Jahre dem BSI gegenüber einen Einhaltungsnachweis vorlegen. Das orientiert sich sehr stark an der jetzigen Nachweisprüfung nach § 8 ABS. 3 BSIG für Betreiber kritischer Infrastruktur, wie es jetzt noch heißt. Demnächst wird es dann Betreiber kritischer Anlagen heißen. Im Grunde ist das sogar eine Nachweisabschwächung zum Status quo – nämlich von zwei auf drei Jahre. Die anderen Unternehmen, also die anderen Betreiber von besonders wichtigen oder wichtigen Einrichtungen, müssen dem BSI die NIS2-Einhaltung wohl nicht nachweisen. So zumindest der aktuelle Stand der Entwürfe.
Allerdings bedeutet das nicht zwangsweise, dass man sich nicht gegenüber dem BSI rechtfertigen muss. Denn das BSI kann auch bei besonders wichtigen Einrichtungen, die nicht kritische Anlagen betreiben, verdachtslos beim Unternehmen bestimmte Anforderungseinhaltungen durchsetzen: also sich bestimmte Unterlagen zeigen lassen, hinter die Kulissen schauen und dergleichen. Bei wichtigen Unternehmen hingegen muss ein Verdacht der Nichteinhaltung vorliegen.
| Mehr NIS-2-Insights am 26.06. im connect professional Webinar |
|---|
|
Bereit für NIS2 – und für das, was noch kommen mag? Nachdem connect professional gemeinsam mit Partnern an den bisherigen Webinartagen im Januar, März und April bereits eingehend die Key Facts und Basics zur Richtlinie abgehandelt hat, soll es dieses Mal vorrangig um die wesentlichen Management-Maßnahmen gehen, die die EU-Richtlinie fordert. Dieses Mal wird unter anderem Secunet mit dabei sein. Auch werfen wir einen Blick über den Tellerrand: Weitere Verordnungen, Regularien aber auch Normen stehen vor der Tür, darunter DORA, CRA und AI Act. Sie nicht alle getrennt voneinander zu betrachten und Wechselwirkungen zu nutzen, lohnt sich. Wann? 26. Juni 2024 Wo? virtuell; am PC Einfach kostenfrei hier anmelden. |
Vom Vorfall zur Nachweiserbringung
connect professional: Wie kommt es zu so einem Verdacht? Was sind die Voraussetzungen hierfür?
von Knobelsdorff: Ein solcher kommt in der Regel durch eine Vorfallsmeldung zustande. Wer wirksame Maßnahmen getroffen hat, die zur Vermeidung eines schweren Sicherheitsvorfalls beitragen, müsste konsequenterweise keinen erheblichen Sicherheitsvorfall melden. Meldet man hingegen einen derartigen Vorfall, wird das BSI aller Wahrscheinlichkeit nach recht schnell skeptisch und fasst nach, wie es dazu kommen konnte.
connect professional: Muss jeder Vorfall gemeldet werden?
von Knobelsdorff: Ja, das geht mit einem neuen Meldeprozess einher, der selbst für jetzige Betreiber kritischer Infrastrukturen sehr herausfordernd ist. Denn man muss unverzüglich oder spätestens innerhalb von 24 Stunden diesen erheblichen Sicherheitsvorfall melden und hat dann noch zwei bis vier weitere Stufen zu nehmen. Das heißt man setzt eine Zwischenmeldung ab, dann eine Fortschrittsmeldung und nach ein paar Monaten führt man noch einmal eine Art Zusammenfassung durch, die eine Auswertung mit sich bringt. Hier geht es auch um die Wirksamkeitsprüfung: Was sind die Lessons learned? Was hätte man anders machen müssen? Gerade auch die erste Meldung ist dabei nicht zu unterschätzen, weil man hier schon, wenn man eine kritische Anlage betreibt, benennen muss, welche kritische Dienstleistung betroffen ist. Besonders globale Unternehmen müssen schon Antworten auf Fragen liefern können wie: Hat dieser Angriff oder Vorfall Auswirkungen auf andere europäische Entitäten? Hat der Vorfall einen Einfluss auf meine Kunden? Hierfür braucht es einen bestimmten Wissensstand. Deswegen ist diese Task Force auch so wichtig, um sehr schnell Antworten auf die Fragen des BSI liefern zu können.
connect professional: Sie haben bereits angesprochen, dass Betreiber kritischer Anlagen im Rahmen des NIS2UmsuCG voraussichtlich alle drei Jahre einen Nachweis erbringen müssen. Eine Art offizielle „NIS-2-Compliance“ gibt es aber nicht, oder?
von Knobelsdorff: Die Erfahrungswerte, die wir von KRITIS haben, lassen schon einige Prüfmethodologien erkennen, an denen man sich orientieren kann. Meiner Meinung nach wird aber aus dem BSI oder dem BSI-Gesetz heraus nicht eine Blaupause à la „Das ist der Weg zur Compliance“ entstehen. Die Gründe hierfür sind : Zum einen orientiert man sich am „Stand der Technik“ – sprich geeignete, wirksame, verhältnismäßige Maßnahmen die dem Stand der Technik entsprechen –, und dieser ändert sich kontinuierlich. Zum anderen muss nicht unbedingt das, was für einen großen europäischen Energieversorger verhältnismäßig ist, auch für einen kleinen Salamihersteller aus Unterfranken gelten.
Geschäftsführende sollten sich also mit Verantwortlichen im eigenen Unternehmen oder externen Dienstleistern dahingehend austauschen, um zu klären, mit welchen Investments die relativ praktischsten Maßnahmen zu treffen sind. Wir von PwC sagen an dieser Stelle immer: Prävention ist stets preiswerter als Reaktion. Hier muss jedes Unternehmen für sich den passenden Weg finden. Unsere Experten im Business Continuity Management oder OT Security können ihre technischen und Branchenspezifischen Erfahrungswerte zielgerichtet für den Weg jedes Unternehmens einsetzen. Das kann ein Gesetz nicht für jede einzelne Unternehmenskategorie vorgeben.
An dieser Stelle noch eine Ergänzung: Wir erwarten bestimmte Handlungsanweisungen aus Brüssel für Unternehmen, die zum Beispiel im Bereich „Anbieter digitaler Dienste“ verortet sind. Darunter fallen zum Beispiel Onlineshop-Betreiber. Diese Handlungsanweisungen sind für 2024 angekündigt, meinem Kenntnisstand allerdings noch nicht veröffentlicht
connect professional: Betrifft denn eine NIS-2-Richtlinie den „Salamihersteller aus Unterfranken“?
von Knobelsdorff: Wenn er mehr als 50 Mitarbeitende hat oder 10 Millionen Euro Umsatz macht, kann er durchaus betroffen sein.
Ein stark reguliertes Feld
connect professional: Die NIS-2-Richtlinie ist ja im Grunde nur eine von vielen Vorgaben durch die EU. Welche sind Ihrer Meinung nach in dem Zusammenhang noch zu nennen?
von Knobelsdorff: Das ist tatsächlich ein Feld, das derzeit sehr stark von der EU reguliert wird. Meines Erachtens ergibt das auch Sinn, weil auch der Bedarf aufgrund der zunehmenden technologischen Abhängigkeit und geopolitischen Anspannung hoch ist. Für Unternehmen gilt es, wehrhaft zu sein und zu bleiben. Die Angriffe sind nicht mehr zu unterschätzen.
Neben der NIS-2-Richtlinie, die die Cybersicherheit von Unternehmen anspricht, gibt es noch die CER-Richtlinie (Anm.d.Red.: Critical Entities Resilience). Sie adressiert die physische Sicherheit und auch nur von Betreibern kritischer Infrastruktur und wird künftig in Deutschland im KRITIS-Dachgesetz umgesetzt. Dann gibt es den Cyber Resilience Act, kurz CRA. Als Verordnung tritt er unmittelbar in Kraft, muss also nicht in deutsches Recht umgesetzt werden. Hiermit will die EU einen gewissen Qualitätsstandard für digitale Produkte erlangen. Das gilt sowohl für Hardware als auch für Software und schließt interessanterweise auch Apps ein. Hierbei geht es vorrangig um die Hersteller dieser digitalen Produkte. Für die Apps hingegen genügt es bereits, wenn ein Unternehmen sie in den Verkehr bringt. Wenn ich also eine App einkaufe, mir programmieren lasse und unter meinem Namen in den App Store von Apple, Google, Android und Co. stelle, bin ich vom Cyber Resilience Act betroffen. Die damit einhergehenden Sanktionen sind äußerst strikt. Das sollte man unbedingt auf dem Schirm haben. Der CRA gilt im Übrigen ab 2026.
Und dann gibt es natürlich auch noch den AI Act. Dieser beinhaltet zum Beispiel eine Risikobeurteilung, die man durchführen muss, wenn man künstliche Intelligenz nutzt. Bestimmte Risikostufen sind untersagt, wenn es zum Beispiel um sensible und personenbezogene Daten geht. Natürlich gibt es noch vereinzelte andere EU-Vorgaben, aber das würde an dieser Stelle den Rahmen sprengen.
Was allerdings klar ersichtlich ist: Der Gesetzgeber hat erkannt, dass es in dem Bereich Regulierungsnotwendigkeit gibt. Ich glaube auch, dass das noch nicht das Ende der Fahnenstange ist.
connect professional: Wie können sich Unternehmen – also besonders kleine und mittelständische und jene, die vorher noch nicht unter NIS2 fielen – diesem Mehraufwand stellen?
von Knobelsdorff: Ich kann dieses Gefühl der Herausforderung nachempfinden. Das ist ein ganz schön dickes Brett, das man bohren muss. Schließlich muss man sich auch vor Augen führen, dass selbst Unternehmensleitende oder Verantwortliche für die Informationssicherheit mit den besten Absichten und den motiviertesten Teams auch ganz viele andere Themen auf dem Tisch haben. Eines davon ist der Fachkräftemangel. Vor diesem Hintergrund ist es wichtig, dass man sich frühzeitig überlegt, was für das Unternehmen der richtige Weg ist, um die Mindeststandards zu adressieren. Ich muss mich fragen: Wie viel kann ich selbst machen? Bei wie vielen Punkten sollte ich mir externe Hilfe holen?
PwC bietet an dieser Stelle den Vorteil vieler interdisziplinärer Teams. Wir haben für jedes Spezialgebiet Kolleginnen und Kollegen, die sehr viel Branchenerfahrung und technisches Know-how mitbringen. Ein starker Bereich von uns ist beispielsweise Business Continuity Management (BCM), also die Fortführung des Geschäftsbetriebes oder Third Party Management, also der Umgang mit der gesamten Lieferkette.
connect professional: Wie macht sich Deutschland bei der Umsetzung der NIS-2-Richtlinie im europäischen Vergleich?
von Knobelsdorff: Deutschland geht hier schon einen sehr guten Weg. Es ist ein sehr entscheidendes Gesetz. Die Referentenentwürfe sind mittlerweile auf einem sehr guten Stand. Es gibt nur wenige Länder, die schon so einen hohen Reifegrad in den Referentenentwürfen haben wie Deutschland.
Bisher gibt es mit Ungarn und Polen nur zwei Länder, die die Richtline bereits umgesetzt haben. Hier hat man zum Beispiel die Umsetzung der Anforderungen sehr stark vorgegeben und auf bestimmte internationale Standards gesetzt. Das ist vielleicht auch auf geopolitische Spannungen zurückzuführen. Es gibt auch andere Herangehensweisen. Dänemark verfolgt zum Beispiel den Ansatz, dass die Aufsichtsbehörden in unterschiedliche Branchen oder Sektoren aufgeteilt werden. Die Logistikbranche wird dann von Ministerium für Transport beaufsichtigt – auch mit Blick auf NIS-2. In Deutschland haben wir mit dem BSI im Grunde nur eine Behörde.
connect professional: Welchen abschließenden Rat würden Sie den von NIS2 betroffenen Unternehmen noch mitgeben wollen?
von Knobelsdorff: Man sollte NIS-2 vor allem als Chance sehen. Auch haben wir das BSI, das Bundesamt für Sicherheit in der Informationstechnik, immer als sehr kooperativ und als helfenden Unterstützer erlebt. Die Anforderungen, die die Richtlinie stellt, sind zudem keine ferne Zukunftsmusik, sondern tatsächlich State of the Art – spiegeln also Stand der Technik wider.
Hinweis der Redaktion: Das Interview wurde am 06.05.2024 geführt.
- „Prävention ist stets preiswerter als Reaktion“
- Q&A vom NIS-2-Webinartag am 14. Mai 2024
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
PwC-Studie
Datendiebstahl: Deutsche Firmen unter Druck
Cyberresilienz
Juristische Folgen für Opfer von Cyberattacken häufen sich
EU-Richtlinie NIS2
Augenmerk auf die Lieferkette
Ein Jahr CompTIA-Community
„Wir wollen, dass die Community qualitativ wächst“
Webinar-Thementag am 28. August
Bereit für DORA?
EU-Regelungen für den Finanzsektor
Vorbereitung auf den Digital Operational Resilience Act
Gastkommentar von Hornetsecurity
Deutsche Unternehmen im Cyber-Albtraum?
Cyberabwehr für KMU
IHK Erfurt will mit Datenbank gegen Cybercrime helfen
EU-Regularien
Personalengpässe aktiv managen, Risiken minimieren
connect professional Webinar-Reihe
NIS-2 – und noch viel mehr
Eset-Umfrage zur EU-Richtlinlie
Deutsche Unternehmen sind nicht auf NIS-2 vorbereitet
Securepoint kritisiert NIS-2-Umsetzung
„Aus unserer Sicht ist NIS2 ein Bürokratie-Gesetz“
Advertorial
Komponenten und Bereiche von NIS und Relevanz für Unternehmen
„Es ist fünf vor zwölf“
Eset startet Kampagne zur Umsetzung der NIS2-Richtlinie
Fachkräftemangel
Cybersecurity am Limit
