Alle reden von der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie), die bis Ende Oktober europaweit von Unternehmen umgesetzt werden muss. Aber was verbirgt sich hinter dieser Abkürzung?
NIS steht für Network and Information Security und ist eine Reaktion auf die rasante Verschärfung der Bedrohungslage im Cyber-Bereich. 2017 wurde die erste NIS-Richtlinie umgesetzt, jetzt folgt ein Update, das Lücken in der Cybersicherheit schließen soll. Prof. Dr. Kyriakos Kouveliotis, Provost & Chief Academic Officer der Berlin School of Business and Innovation (BSBI), Experte für KI und ehemaliger Berater des griechischen Verteidigungsministeriums, ist der Ansicht, dass alle europäischen Unternehmen und auch die Bürger:innen zusätzliche intensive Schulungen benötigen. Das Tempo des technologischen Fortschritts wird immer schneller und bringt in Verbindung mit den Entwicklungen im Bereich der künstlichen Intelligenz zusätzliche Herausforderungen mit sich.
Wirtschaft vor Cyberattacken schützen
Die Anzahl der Cybersecurity-Attacken steigt seit Jahren. Jede:r von uns erlebt inzwischen regelmäßig im Alltag Angriffe auf die eigene Sicherheit. Seien es Phishing Mails mit verdächtigen Links, die im Posteingang landen, WhatsApp-Nachrichten von angeblichen Kindern, die einen Notfall melden oder gar Ransomware, die man sich auf dem Laptop einfängt und mit dem Kriminelle Lösegeld für das gekaperte Gerät erpressen.
Die Bedrohungslage ist real. Nicht nur im Privaten, sondern auch und gerade in der Wirtschaft. Für Unternehmen, die zur kritischen Infrastruktur gehören wie Energie- und Wasserversorgung, Verkehrsinfrastruktur, Finanzen oder Gesundheit, gilt deshalb die NIS-2-Richtlinie. Diese für die Gesellschaft zentralen Unternehmensbereiche sollen mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (so die Bezeichnung in Deutschland) besser geschützt werden, indem gesetzlich geregelte Mindeststandards für Cybersicherheit gelten.
NIS-2 schafft Mindeststandards für Cybersicherheit
Dazu gehören Konzepte für Risikoanalysen, Risikomanagement-Bewertungen, Cyberhygiene, Verschlüsselung und Zugriffskontrollen. Zudem müssen Unternehmen Lösungen für gesicherte Kommunikation, Schwachstellenmanagement, Betriebssicherung und für die Bewältigung von Sicherheitsvorfällen entwickelt haben. Das klingt nach einer langen Liste an Anforderungen, die meiner Meinung nach jedoch für Unternehmen Standard sein müssen, die Teil der kritischen Infrastruktur des Landes sind.
In Sicherheit zu investieren, zahlt sich aus. Wann haben Sie das letzte Backup durchgeführt?
Auch kleine und mittlere Unternehmen, die von dem Gesetz nicht betroffen sind, tun gut daran, regelmäßig die eigenen Systeme sicherer zu machen. Da muss nicht gleich eine teure Cybersicherheits-Schulung her. Ein Anfang kann sein, zu überprüfen, wie in einem Unternehmen allgemein Fragen der Datensicherheit geregelt werden. Wie viele Beschäftigte teilen sich einen Zugang für Online-Tools? Wer hat auf welche Bereiche Zugriff? Wie oft werden Backups der Daten erstellt? Wann sind das letzte Mal Passwörter geändert worden? Sind überhaupt eigene Passwörter zugewiesen worden oder werden womöglich noch die Default-Einstellungen genutzt? Sind alle Anwendungen auf dem neuesten Stand? Alte Software ist bekanntermaßen anfälliger für Cyber-Attacken.
Maßnahmen, die die digitale Sicherheit von Unternehmen erhöhen, kosten Zeit und Geld. Allerdings verursachen laut einer Umfrage der Bitkom Diebstahl von IT-Ausrüstung und Daten sowie digitale und analoge Industriespionage und Sabotage in Deutschland Schäden jährlich inzwischen weit über 200 Milliarden Euro. Jedes Unternehmen sollte seine Möglichkeiten ausschöpfen, egal ob vom Gesetzgeber:in verpflichtet oder nicht, um nicht früher oder später auch zu den Cyberattacken-Opfern zu gehören.
Der nächste Schritt auf dem Weg zu einer gestärkten Cybersicherheit steht im Januar 2025 an: Das CSIRT-Netz* soll die erzielten Fortschritte unter Berücksichtigung des Rahmens für alle potenziellen operativen Kooperationen bewerten. Im April 2025 sollen die EU-Länder dann eine Liste der wesentlichen und bedeutenden Einrichtungen erstellen und im Oktober 2027 soll die Richtlinie überarbeitet werden.
Natürlich kann die Richtlinie nur funktionieren, wenn Einrichtungen, EU- und nationale Behörden, aber auch die Bürger:innen ständig wachsam sind und sich kontinuierlich neues Wissen zu den Gefährdungen aneignen. Das CSIRT ist ein guter Anfang, aber erst, wenn eine Institution mit Zweigstellen in allen EU-Mitgliedstaaten besteht und es regelmäßige Sitzungen geben wird, kann eine gewisse Effektivität entstehen.
Prof. Dr. Kyriakos Kouveliotis, Provost & Chief Academic Officer der Berlin School of Business and Innovation