KRITIS-Dachgesetz und NIS2-Richtlinie: Der Countdown läuft
Cyber-Attacken auf Organisationen und Unternehmen nehmen stetig zu und gehören zu den Delikten mit dem größten Schadenspotenzial.
Laut Angaben des Digitalverbands Bitkom beliefen sich im Jahr 2022 die allein in Deutschland durch Cybercrime verursachten Kosten auf 203 Mrd. Euro. Das ist doppelt so viel wie im Jahr 2019.
Obwohl sich die Bedrohungslage in den letzten Jahren also deutlich zugespitzt hat, liegt das Thema Cybersicherheit bei vielen Organisationen oft noch weitgehend brach. Problematisch ist das vor allem dann, wenn durch den Ausfall von Einrichtungen, die zwar selbst nicht als kritische Infrastruktur eingestuft werden, KRITIS-Unternehmen in Mitleidenschaft gezogen werden, die auf deren Zulieferer-Dienste angewiesen sind. Ebenso müssen bislang viele Einrichtungen kein ausgewiesenes Managementsystem für Informationssicherheit (ISMS) betreiben, obwohl sie eigentlich in einem für die Bevölkerung relevanten Schlüsselsektor tätig sind. Erwähnt seien hier etwa Krankenhäuser unterhalb der Bemessungsschwelle von mindestens 30.000 vollstationären Fällen pro Jahr, die aber ebenfalls immer öfter ins Visier von Cyberkriminellen geraten. Zwei neue Gesetze sollen hier in Zukunft für mehr Klahrheit und Widerstandsfähigkeit sorgen.
Mit der Absicht, die Resilienz der Kritischen Infrastrukturen insgesamt zu stärken, um auch sektoren- und grenzübergreifende Störungen abzuwehren, wird im Oktober 2024 das KRITIS-Dachgesetz aus der EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie) in nationales Recht überführt. Als Ergänzung zu BSI-Gesetz und KRITIS-Verordnung wird damit erstmals der Schutz kritischer Infrastrukturen per Bundesgesetz geregelt werden. Damit verbunden sind zusätzliche Anforderungen für Betreiber kritischer Anlagen bei Meldepflichten, der physischen Sicherheit, im Personalbereich sowie dem Krisen- und Business Continuity Management.
Noch einmal deutlich weiter gefasst ist die novellierte „Network and Information Security“-Richtlinie NIS2, die ein Mehrklassen-System von Betreibern und unterschiedlichen Stufen von Pflichten einführt. Die NIS2-Richtlinie, die zeitgleich zum Dachgesetz ratifiziert werden wird, zielt darauf ab, das Cybersicherheitsniveau in allen EU-Mitgliedsstaaten zu harmonisieren. Sie legt strengere Aufsichts- und Durchsetzungsmaßnahmen fest sowie einheitliche Sanktionsregelungen für alle Mitgliedsstaaten. Damit verbunden ist eine deutliche Ausweitung des Anwendungsbereichs mit 18 relevanten Sektoren, darunter Energie, Transport/Verkehr, Finanz/Versicherung, Gesundheit, Chemie, Forschung, Wasser/Abwasser, IT und Telekommunikation, Digitale Dienste, Weltraum, Lebensmittel, Entsorgung zuzüglich Einrichtungen der Bundesverwaltung.
Mindestens 30.000 Unternehmen werden dann in die Pflicht genommen, Maßnahmen umzusetzen, die dem gefahrenübergreifenden Ansatz von NIS2 entsprechen. Konkret bedeutet das, dass trotz des Fokus auf Cybersicherheit nicht nur Maßnahmen zum digitalen, sondern auch zum physischen Schutz der Anlagen getroffen werden müssen. Eine wichtige Gundlage stellt hierbei die Implemetierung einer leistungsfähigen Zutrittskontrolle dar.
Ob die NIS2-Bestimmungen auf ihren Betrieb anwendbar sind, müssen Einrichtungen und Betreiber selbst bestimmen und sich schon kurz nach Inkrafttreten des NiS2-Umsetzungsgesetzes beim BSI registrieren. Unternehmen sollten sich also möglichst rasch mit den Rahmenbedingungen vertraut machen, um rechtzeitig geordnete Schritte einleiten zu können.
Mit dem Whitepaper „NIS2-Anforderungen für Unternehmen: Wie Firmen mit digitaler Zutrittskontrolle ihre cyberphysische Resilienz erhöhen können“ informiert Assa Abloy über Anforderungen und Maßnahmen und bietet Best Practices, mit denen sich Schwachstellen in der Schließtechnik aufspüren und beheben lassen.