NIS2: Was auf Errichter und Integratoren zukommt

Bereits im Januar 2023 trat die europäische Cybersicherheitsrichtlinie NIS2 in Kraft. Anders als Verordnungen, die immer sofort in allen Mitgliedsländern der EU wirksam sind, müssen Richtlinien jeweils in nationalen Gesetzgebungsverfahren für den lokalen Rechtsrahmen umgesetzt werden. Aktueller Stand des Verfahrens: Nichts geht mehr. Alles starrt gebannt nach Berlin, ob die Bundesregierung es wohl schaffen wird, die von der EU gesetzte Deadline 17. Oktober 2024 einzuhalten – es sieht derzeit nicht so aus, als ob das noch gelingen könnte. Unstimmigkeiten zwischen verschiedenen Ressorts und nicht zuletzt Finanzierungsvorbehalte machen die Abstimmung zwischen den Ministerien ungewöhnlich schwer. Wenn der Knoten nicht doch noch platzt und das Gesetz im Herbst in Kraft treten kann, steuert Deutschland auf ein kostspieliges Vertragsverletzungsverfahren der EU zu.

Alle künftig Regulierten sind trotzdem gut beraten, sich schnellstmöglich auf die Einhaltung der gesetzlichen Anforderungen vorzubereiten. Auch wenn die NIS2 und ihre Partner-Richtlinie CER, die in Deutschland als „KRITIS-Dachgesetz“ eingeführt wird, erst mit Verspätung in Deutschland rechtskräftig umgesetzt werden können, wäre es keine gute Idee, notwendige Anpassungen hinauszuzögern oder sich vor der Regulierung ganz drücken zu wollen.

Denn sie kommt, soviel ist sicher. Und sie wird in Deutschland zusätzlich zu den bisherigen Betreibern Kritischer Infrastrukturen etwa 30.000 Unternehmen betreffen, von denen viele gar nicht ahnen, dass sie dazugehören. Und dabei sind mit dieser beeindruckenden Zahl nur die direkt erfassten Einrichtungen beziffert. Weil aber in der Richtlinie ausdrücklich „Lieferkettensicherheit“ eingefordert wird, ist von einer noch viel höheren Anzahl mittelbar Betroffener auszugehen: Wenn ein reguliertes Unternehmen für seine kritischen Dienstleistungen Zulieferungen in Anspruch nimmt, muss es künftig jeden seiner Lieferanten, Outsourcing-Partner oder Drittdienstleister vertraglich dazu verpflichten, dieselben Vorgaben der Cybersicherheitsregulierung zu erfüllen.

Es kann jeden treffen

Wer für eine Polizeidienststelle, eine Bank oder andere sicherheitsbewusste Institutionen tätig ist, kennt sich mit dem Anspruch an die Zuverlässigkeit, Vertrauenswürdigkeit und Sicherheit bereits aus, der von den Auftraggebern an ihre Dienstleister gestellt wird. Insbesondere im Rahmen öffentlicher Ausschreibungen ist es schon lange üblich, zu den Eignungskriterien eines Bieters auch die Informationssicherheit zu zählen. Für andere kommt es vielleicht überraschend, aber auch sie finden sich meist schnell damit ab, dass zum Beispiel bei der Remote-Administration eines Netzwerks aus Kameras und Überwachungstechnik dieselben Regeln gelten müssen, wie die Auftraggeber sie an ihre eigene Netzwerktechnik stellen.

Die gute Nachricht: Der Katalog umzusetzender Maßnahmen unterscheidet sich kaum von etablierten Best Practices und Gepflogenheiten des Informationssicherheitsmanagements, die vielen Unternehmen im IT-Bereich längst vertraut sind. Zwar wird der Anwendungsbereich der Regulierung umfangreicher, das ist richtig. Im Ergebnis wird jedes Unternehmen in den kritischen Sektoren, aber auch die meisten seiner Lieferanten gezwungen sein, die eigene IT-Umgebung, organisatorische und personelle Maßnahmen den Vorgaben der Regulierung anzupassen. Aber inhaltlich stehen die Wenigsten vor unüberwindlichen Hürden, was die Maßnahmen zur Stärkung der Cybersicherheit angeht.

Die Situation ist vielleicht am besten mit dem Abschluss einer Cyberversicherung vergleichbar: Wer heute versucht, sich gegen Risiken beim Betrieb von Netzwerk- und Informationstechnik abzusichern, wird von allen Anbietern am Markt mit einer ausführlichen Bestandsaufnahme seiner Informationssicherheit geprüft. Ein typischer Fragebogen klopft alle Rahmendaten ab, die für mögliche Cyberattacken oder andere Ausfälle relevant sein könnten. Dazu gehören Fragen nach dem Notfallmanagement, zur Multifaktor-Authentisierung oder Härtung der Systeme und vieles mehr, die vom Versicherten beantwortet werden müssen. Und die Bedingungen, die Versicherungen in diesem Feld festlegen, orientieren sich an den tatsächlichen Risiken – je unsicherer die Verhältnisse sind, desto kostspieliger werden die Versicherungsprämien sein. Wenn nicht, was immer häufiger passiert, der Versicherer einen Kunden vollständig ablehnt, weil er ihm zu riskant ist.

Mit ähnlich gründlichen Abfragen muss ein Lieferant rechnen, der für einen öffentlichen oder anderweitig von der künftigen Richtlinie erfassten Auftraggeber arbeitet. Welche Form die Überprüfung annimmt, kann unterschiedlich sein. Manche werden regelmäßigen Lieferantenaudits unterzogen, die vor Ort oder vielleicht auch nur schriftlich durchzuführen sind. Anderes ist möglicherweise durch Service Level Agreements geregelt und bereits Bestandteil der Verträge. Etablierte Geschäftsbeziehungen werden dadurch sicher nicht übermäßig belastet, aber für Neuaufträge in den nächsten Monaten und Jahren wird es eine messbare Verschärfung der Vertragspartnerschaftsbedingungen geben. Weil die Auftraggeber von ihrem eigenen Risikomanagement gezwungen werden, die Einhaltung von Sicherheitsanforderungen bei den Lieferanten sicherzustellen, gibt es hier auch gar keinen Spielraum.

Wer dauerhaft im Geschäft bleiben möchte, wird sich hier bald nach der Decke strecken müssen. Zu den künftigen Verpflichtungen gehören zum Beispiel auch Meldeverfahren, wenn im Zusammenspiel mit dem Auftraggeber ein Ausfall kritischer Dienstleistungen der Aufsichtsbehörde binnen 24 Stunden angezeigt werden muss. Ohne eine entsprechend gründliche Festlegung von Ansprechpartnern und Meldeketten im Rahmen der Dienstleistungsverträge geht das im Ernstfall garantiert schief.

Handlungsdruck für indirekt Betroffene

Der Handlungsdruck ist für die nur indirekt von der Regulierung Betroffenen vielleicht sogar drängender als für die unmittelbar Verpflichteten: Während letztere von den Übergangsfristen und auch der voraussichtlich verspäteten Umsetzung in deutsches Recht profitieren können und zwei oder drei Jahre Aufschub genießen, bis sie die NIS2-Anforderungen wirklich einhalten müssen, müssen ihre Lieferanten schon früher soweit sein. Denn niemand, der zukünftig reguliert sein wird – auch wenn es ihn selbst erst nach einer Schonfrist trifft – kann sich leisten, neue Vertragspartnerschaften einzugehen, die diesen Vorgaben nicht genügen. Und das, keine Frage, gilt ab sofort.

Welche Bedingungen zu erfüllen sind, und was man als kleiner Handwerksbetrieb oder mittelgroßer IT-Dienstleister zu tun hat, um den heraufziehenden Sturm zu überstehen, muss für jeden Einzelfall gesondert beurteilt werden. Was dabei sinnvoll sein kann, ist eine Zertifizierung nach den einschlägigen Normen wie ISO 27001 oder vielleicht sogar BSI IT-Grundschutz, der dazu kompatibel ist. Natürlich ist das allein noch keine Garantie, dass die Auftraggeber oder Aufsichtsbehörden mit dem Umfang der Absicherung zufrieden sind, aber ein gültiges Zertifikat ist eine ausgezeichnete Basis für den Nachweis der technischen Compliance in den einschlägigen Bereichen. Beratungsfirmen wie die nGENn sind darauf spezialisiert, kleine und mittlere Unternehmen in die Lage zu versetzen, die Anforderungen an die Lieferkettensicherheit und andere Grundvoraussetzungen zu erfüllen.

Workshops

Für Errichter-, Installations- und Dienstleistungsunternehmen richten wir in Kooperation mit der Videor Academy Workshops zum NIS2-Umsetzungsgesetz und KRITIS-Dachgesetz aus. Wir vermitteln den Teilnehmern die Grundlagen der kommenden Regulierung und beleuchten, welche Auswirkungen sie auf ihre Kunden im Hinblick auf den Schutz und die Resilienz von IT-Systemen haben wird. Neben den Herausforderungen, welche die erweiterten Anforderungen für Errichter mit sich bringen, befassen wir uns auch eingehend mit den Potenzialen, die mit den veränderten Rahmenbedingungen einhergehen.

Der Aufwand für eine regulierungskonforme Ausstattung richtet sich nach dem Anwendungsbereich. Hier kann ein guter Berater helfen, den Umfang sinnvoll einzuschränken. Der Nutzen ist völlig unbestritten: Wer Cybersicherheit im eigenen Betrieb implementiert, ist nicht nur besser gegen Angriffe aller Art gewappnet – er verbessert vor allem seine Chancen, die eigene Dienstleistung zukunftssicher zu etablieren, wenn er die Sicherheitsbedürfnisse seiner Kunden angemessen zu berücksichtigen weiß.