Die EU-Mitgliedstaaten haben bis Oktober 2024 Zeit, die europäische NIS2-Richtlinie in nationales Recht umzusetzen. Ein Blick auf die Weihen des Risikomanagements.
In Anlehnung an die NIS-Richtlinie der EU aus dem Jahr 2016 zielt die NIS 2 darauf ab, die Cyber-Resilienz auf europäischer Ebene zu erhöhen. Waren bereits Sektoren wie Banken, Versicherungen, Energie, Gesundheit oder Verkehr von dieser Richtlinie betroffen, so sind nun auch Abfall- und Abwasserwirtschaft, Lebensmittel, Internetdienstleister und Rechenzentren, Raumfahrt, öffentliche Verwaltung und Postdienste im Visier.
Dies ist ein wichtiger und notwendiger Regulierungsschritt angesichts des besonders heterogenen Schutzniveaus und des Reifegrads der europäischen Einrichtungen im Bereich der Cybersicherheit. Wenn die Zahl der von der NIS2 erfassten Einrichtungen auf französischer Ebene etwa 15.000 beträgt, dürften in Europa schätzungsweise 120.000 bis 150.000 Einrichtungen in den Anwendungsbereich dieser Richtlinie fallen. In Frankreich führt die Ausweitung der Sektoren zu einem neuen Ungleichgewicht im Bewusstsein der Unternehmensleitung über die grundlegende Natur der Cybersicherheit und den Schutz sensibler Daten. Und die Nomenklatur ändert sich. Künftig werden Unternehmen nach bestimmten Kriterien, nämlich der Zahl der Beschäftigten, dem Umsatz und dem Tätigkeitsbereich, als wesentlich oder wichtig eingestuft. Während die Verpflichtungen für beide Kategorien die gleichen sind, wird die Richtlinie für Unternehmen, die als wesentlich eingestuft werden, strenger angewandt.
Artikel 21 verlangt „geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen zur Beherrschung der Risiken für die Sicherheit von Netzen und Informationssystemen, die von [kritischen und wichtigen] Stellen im Rahmen ihrer Geschäftstätigkeit oder bei der Erbringung ihrer Dienste genutzt werden, und zur Beseitigung oder Verringerung der Auswirkungen von Zwischenfällen auf die Empfänger ihrer Dienste und auf andere Dienste“. Dies kann nur durch ein agiles und effektives Risikomanagement erreicht werden.
Es gibt technologische Lösungen, die eine Plattform bieten, die auf zwei Ansätzen basiert, je nach Reifegrad der wesentlichen und wichtigen Einrichtungen der europäischen Staaten. Für die Staaten mit einer etablierten Cyber-Strategie konzentriert sich der Bedarf auf die neuen, von NIS2 betroffenen Einrichtungen. Für die zweite Gruppe ist es ein globalerer Ansatz, der die Staaten begleiten kann, deren Bedarf an der Einhaltung der NIS2 größer ist.
Für letztere ist es möglich, diese Art von Plattform zu nutzen, um ihren Markt zu regulieren. In diesem Fall könnte der betreffende Staat diese Plattform allen seinen Einrichtungen, sowohl den wesentlichen als auch den wichtigen, auf Gegenseitigkeitsbasis zur Verfügung stellen. Auf diese Weise wird die Überwachung der Einhaltung der Vorschriften für die betroffenen Unternehmen durch einen einheitlichen risikobasierten Ansatz erleichtert.
Abgesehen von der Bedeutung des Risikomanagements für wesentliche oder wichtige Unternehmen sind die Unternehmen in der Tat verpflichtet, die Richtlinie einzuhalten, oder sie müssen mit wesentlich höheren Strafen rechnen als in der NIS-1-Richtlinie vorgesehen. Zur Erinnerung: Bei Nichteinhaltung der Richtlinie droht kritischen Unternehmen eine Geldstrafe in Höhe von 10 Mio. € bzw. 2 % des weltweiten Gesamtumsatzes und bedeutenden Unternehmen eine Geldstrafe in Höhe von 7 Mio. € bzw. 1,4 % des weltweiten Gesamtumsatzes, je nachdem, welcher Betrag höher ist. Die zuständigen nationalen Behörden, in Frankreich die ANSSI, sind für die Einhaltung der Vorschriften verantwortlich und verfügen über die entsprechenden Durchsetzungsbefugnisse.
Die NIS 2 bezieht die gesamte Wertschöpfungskette der betroffenen Branchen ein. Somit müssen alle Zulieferer und Unternehmen, die mit einem unter diese Richtlinie fallenden Unternehmen zusammenarbeiten, die neue Verordnung ebenfalls einhalten.
Die Lieferkette, die lange Zeit von Fachleuten als eines der „schwachen Glieder“ bezeichnet wurde, steht nun in vorderster Front. Die Zahl der betroffenen Unternehmen hat sich verzehnfacht. Darunter sind nun auch viele KMU und KMU, die dem Cyberrisiko bisher nicht unbedingt Priorität eingeräumt haben. Das wird sich ändern und sie werden in Risikoanalysen investieren müssen, um die Vorschriften einzuhalten.
Das Risikomanagement kann zu einem echten Entscheidungsinstrument werden, das den Führungsgremien einen noch nie dagewesenen Mehrwert bietet. Risikomanagement- und Analyselösungen können die Geschäftsleitung einbeziehen, indem sie ein Cyberrisiko in ein quantifiziertes finanzielles Risiko umwandeln. Das Cyber-Risiko wird dann zu einem Vermögenswert für das Unternehmen mit einer Risikoposition, die durch einen detaillierten Aktionsplan reduziert werden kann. Die Quantifizierung des Risikos bindet die Unternehmensleitung ein und bezieht alle Beteiligten mit ein: die Aktionäre, aber auch die europäische Regulierungsbehörde, Partner und Versicherer. Auf diese Weise beweist das Unternehmen ihnen, dass es sein Risiko unter Kontrolle hat. Es besteht jedoch keine Notwendigkeit, auf die Umsetzung der NIS2 zu warten, denn die Plattformen und Lösungen sind bereits vorhanden und ihr finanzieller Mehrwert ist ein großer Vorteil. Wenn ein Unternehmen sein Cyber-Risiko kennt und die sich daraus ergebenden Maßnahmen umsetzt, kann es laut einer Studie von IBM und dem Ponemon Institute im Jahr 2022 300 % der anfallenden Kosten einsparen. Auch wenn die COMEX-Unternehmen vielleicht zögern, die Investitionsrendite der Umsetzung betrieblicher Maßnahmen zur Verringerung des Cyber-Risikos zu messen, sollte ihnen dieser Prozentsatz die Einsparungen bewusst machen, die durch diese Maßnahmen erzielt werden können.
Warum also auf die Umsetzung in nationales Recht warten, wenn die Vorteile des Risikos innerhalb weniger Monate sichtbar sein könnten?
Quelle: Le Journal du Net
