NIS2: Wirtschaft geschützt, Verwaltung bleibt Zielscheibe
Mit Umsetzung der NIS2-Richtlinie wird Cybersicherheit in Deutschland endlich zur Chefsache. Das Gesetz ist ein Schritt in die richtige Richtung, meint KRITIS-Experte Manuel Atug, obwohl der Gesetzgeber mit vielen Ausnahmen Potenzial verschenkt.
Wir haben nach Cyber gerufen und Cyber bekommen: Die EU ist seit einigen Jahren aufgewacht und die Maschinerie des Gesetzesapparates ist in Gang gekommen. Jetzt kommt ein Cybergesetz nach dem anderen raus und versucht Einzelteile zu regulieren. Kürzlich der AI Act und parallel zur NIS2 das Kritis-Dachgesetz. Viele mehr wie DORA für die Finanzbranche und der Cyber Solidarity Act, der Mitgliedsstaaten gegen besonders weitreichende Angriffe absichern soll, sind ebenfalls in Arbeit oder bereits abgeschlossen. Die Bundesregierung muss NIS2 nun bis zum 17. Oktober 2024 in deutsches Recht umsetzen. Hierzulande betitelt man das kommende NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) gern als Cybersicherheitsstärkungsgesetz. Der Aufschrei in der Wirtschaft ist groß, denn das neue Gesetz wird etwa 5000 bis 6000 Betreiber kritischer Anlagen (KRITIS) sowie etwa 30 000 wichtige und besonders wichtige Einrichtungen in Deutschland betreffen.
Hier gilt es, einiges nachzurüsten: Im Rahmen des Risikomanagements sind ein Informationssicherheitsmanagementsystem (ISMS), ein Business Continuity Management (BCM) und ein Krisenmanagement aufzusetzen. Das ist zu begrüßen. Dazu kommen Life Cycle Management, Kryptografie, das Bewältigen von Sicherheitsvorfällen, Awareness und Cyberhygiene sowie physische Sicherheit und Sicherheit des Personals. Darüber hinaus werden noch sichere Authentifizierung, sichere Kommunikation und Dienstleistersteuerung gefordert, also die Sicherheit in der Lieferkette. Auch hier wird – wie zuvor von kritischen Infrastrukturen nach BSI-Gesetz § 8 a, b – die Einhaltung des „Stands der Technik“ erwartet; was das genau heißt, bestimmt das Gesetz jedoch nicht.