Angesichts der zunehmenden Verbreitung und Aggressivität von Cyberbedrohungen haben Unternehmen keine andere Wahl, als Maßnahmen zum Schutz ihrer Infrastruktur und ihrer Ressourcen zu ergreifen sowie Cyberangriffe so weit wie möglich zu antizipieren und abzuwehren. Wenn sie dies im eigenen Interesse und im Interesse Dritter tun, mit denen sie interagieren (seien es Kunden, Lieferanten oder Dienstanbieter), machen sie das auch wegen der immer strengeren und zahlreicheren Regulierungen, die zu einer Trägheit bei der Ergreifung konkreter Maßnahmen führen können: Die wachsende Notwendigkeit einer Anpassung an die Vorschriften zielt zwar einerseits darauf ab, die Sicherheit der Organisationen zu stärken, kann aber andererseits paradoxerweise ihre Wettbewerbsfähigkeit untergraben und in einigen Fällen die Erfahrungen ihrer Kunden negativ beeinflussen.
Darüber hinaus sind immer mehr Unternehmen von mindestens einer Vorschrift betroffen, darunter NIS, DORA oder der Cyber Resilience Act. Angesichts der zunehmenden Zahl und Raffinesse von Cyberangriffen hat die EU den Rechtsrahmen erweitert, um Organisationen bei der Einführung angemessener Sicherheitsmaßnahmen sowie der Anhebung des Schutzniveaus kritischer Infrastrukturen und sensibler Daten zu unterstützen. Die betroffenen Firmen können sich jedoch durch die Anhäufung von Vorschriften überfordert fühlen, die mit einem Mangel an Informationen einhergehen. Das gilt besonders angesichts einer Realität, in der die technologische Innovation viel weiter fortgeschritten ist, als es diese Vorschriften vorsehen, wie es beim IoT oder in jüngster Zeit bei KI der Fall war, um nur einige Beispiele zu nennen.
Zunehmende Überschneidung der Vorschriften und ihrer Anwendungsbereiche
Die 2016 in Kraft getretene NIS1-Richtlinie legte den Grundstein für die Cybersicherheit in Europa und betonte die Relevanz von technologischen und regulatorischen Maßnahmen zur Stärkung der Widerstandsfähigkeit kritischer Infrastrukturen. Sie förderte ein standardisiertes Cybersicherheitsmanagement, indem sie ein Risikomanagement einführte und Anreize für Unternehmen schuf, ihre Schutzhaltung kontinuierlich zu verbessern. Die NIS2-Richtlinie, die gerade in den EU-Mitgliedsstaaten in Kraft getreten ist, stellt eine weitere Verschärfung der NIS1 dar. Insbesondere deckt sie mehr Sektoren ab (18) und reduziert die Größe der betroffenen Organisationen auf 50 Mitarbeiter, um das Sicherheitsniveau zu erhöhen und den Schutz aller Glieder der Lieferkette zu gewährleisten. Mit NIS2 wird auch die Rechenschaftspflicht von Führungskräften eingeführt, die bei Nichteinhaltung der Vorschriften mit Sanktionen belegt werden können, damit sie sich ernsthafter und proaktiver mit dem Management von Cyberrisiken befassen.
Die Kapazität der nationalen Kontrollstelle, des BSIs in Deutschland, ist jedoch eine entscheidende Frage, die durch NIS2 aufgeworfen wird. Ohne eine deutliche Aufstockung der Beraterzahl könnten sich die Kontrollen auf Stichproben beschränken, was die Wirksamkeit der Richtlinie beeinträchtigen könnte. Zusätzlich zu Kontrollengpässen kommt noch die Problematik des Anwendungsbereichs der verschiedenen Rechtsvorschriften hinzu. Obwohl Verordnungen wie NIS2 und DORA Ähnlichkeiten aufweisen, darunter die Risikoanalyse, die Meldepflicht und die Kontrolle der Lieferkette, unterscheiden sich ihre Anwendungen. Während NIS2 für verschiedene Sektoren gilt, zielt DORA speziell auf den Finanzsektor ab. Diese Unterscheidung wirft die Frage nach dem spezifischen und ergänzenden Charakter von DORA im Vergleich zu NIS2 auf und unterstreicht die Notwendigkeit, Cybersicherheitsmaßnahmen an die Besonderheiten der einzelnen Sektoren anzupassen.
Auswirkungen der Komplexität der Rechtsvorschriften auf Kosten der Wettbewerbsfähigkeit von Organisationen
Die fortschreitende Anhäufung von Gesetzen und Vorschriften zur Cybersicherheit stellt auch eine finanzielle Herausforderung für Unternehmen dar. Jede neue Richtlinie, die auf die Verbesserung der Sicherheit abzielt, verursacht zusätzliche Kosten. Zum einen müssen die Firmen in ein Audit investieren, um ihre Systeme und ihre Sicherheitslage entsprechend den Vorschriftsanforderungen zu bewerten. Zweitens fallen Kosten für die Einführung fortschrittlicher Technologien an, die sehr spezifische Anforderungen erfüllen, um ebenfalls spezifische Cybersicherheitsprobleme zu lösen. Es handelt sich um Lösungen, die eine Schulung der Mitarbeiter erfordern, damit sie diese Werkzeuge effizient und angemessen nutzen können. Diese Investitionen, die notwendig sind, um die hohen Standards zu erfüllen, können dazu führen, dass die Unternehmen die Preise für ihre Waren und Dienstleistungen erhöhen müssen. Außerdem beeinträchtigen diese Kosten die internationale Wettbewerbsfähigkeit. Europäische Unternehmen könnten in der Tat weniger wettbewerbsfähig als Firmen aus anderen Regionen werden, in denen die Vorschriften weniger streng sind.
Ein weiteres Problem, das sich aus den neuen Vorschriften ergibt, ist der Mangel an Fachpersonal für die Cybersicherheit. Die Unternehmen müssen mehr Fachleute einstellen, um die Vorschriften einzuhalten, wodurch die Nachfrage nach diesen speziellen Talenten auf dem Arbeitsmarkt steigt. Der Mangel an qualifizierten Fachkräften im Bereich der Cybersicherheit ist bereits Realität. Die steigende Nachfrage verschärft die Situation weiter. Dadurch entsteht ein zusätzlicher Druck, der die Anpassung an die neuen Vorschriften für Unternehmen noch mühsamer macht, die Schwierigkeiten haben, die erforderlichen Ressourcen zu finden. Schließlich müssen auch die potenziellen Kosten in Betracht gezogen werden, die mit Strafen für die Nichteinhaltung von Vorschriften verbunden sind. Dazu zählen etwa Geldbußen oder Rufschädigungen, die sich auf das Image auswirken und zum Verlust von Kunden führen können, wenn Daten kompromittiert werden.
Die Rückkehr zur Vernunft
Für einen Experten wäre es schwierig, die Zunahme vertikaler Vorschriften und Standards (Dora, Basel III, HDS usw.) nicht zu bemerken. Ihre Ähnlichkeit ist frappierend, denn die Regeln und Praktiken überschneiden sich in hohem Maß. Dies ist verständlich, da die Informationssysteme grundsätzlich ähnlich sind, ob in einem Bankinstitut oder in einem Industrieunternehmen. Die Unterschiede sind marginal und erfordern spezifische technische Anpassungen. So ist beispielsweise der Schutz einer Modbus-Komponente nicht derselbe wie der einer SQL-Datenbank. Es ist jedoch unerlässlich, dass Servicetechniker über eine Multi-Faktor-Authentifizierung verfügen und ihre Konten regelmäßig überprüft werden.
Ein solcher Wildwuchs könnte den Eindruck erwecken, dass jede Einrichtung versucht, ihre eigenen Regeln aufzustellen. Dieser Trend zu einer Inflation von Vorschriften könnte zu höheren Kosten führen (die letztlich von den Bürgern getragen werden), ohne dass die Sicherheit wesentlich verbessert wird. Daher ist es sowohl für unsere Wirtschaft als auch für unsere Sicherheit von entscheidender Bedeutung, zu einem rationaleren Ansatz zurückzukehren.
Einfache Lösungen
Unabhängig von der geltenden Norm oder Verordnung muss man sich vor Augen halten, dass das Informationssystem ein Grundpfeiler der Geschäftstätigkeit eines Unternehmens ist und daher einen angemessenen Schutz verdient.
Anstatt die notwendigen Maßnahmen im Detail zu vervielfachen, ist es besser, sich auf diese wesentlichen Punkte zu konzentrieren:
- Integration des Themas Cybersicherheit auf Verwaltungsratsebene: Es ist von entscheidender Bedeutung, der Cybersicherheit die gleiche Bedeutung beizumessen wie den physischen oder menschlichen Risiken.
- Verwaltung der Sicherheit je nach Risikoeinstufung: Dieser Ansatz ermöglicht eine vernünftige Zuweisung von Ressourcen, die sich an den spezifischen Bedürfnissen des Unternehmens orientieren.
- Anwendung grundlegender bewährter Praktiken: regelmäßige, getestete und überprüfte Backups; Einsatz grundlegender Sicherheitslösungen wie Firewalls, Antivirenprogramme und Multi-Faktor-Authentifizierung; Aktualisierung der Systeme.
- Sich mit zuverlässigen Partnern umgeben: Organisationen sollten zuverlässige Partner wählen, um von angemessener Unterstützung zu profitieren.
Letztendlich führen der Übergang von NIS1 zu NIS2 sowie das Vorhandensein unterschiedlicher und neuer Vorschriften zu einer Ausweitung des Geltungsbereichs und zu einer größeren rechtlichen Verantwortung für die Betroffenen, ohne jedoch aus technologischer Sicht einen wesentlichen Fortschritt darzustellen. Diese Entwicklung der Gesetze und Regulierungen im Laufe der Zeit bringt allerdings zusätzliche Herausforderungen mit sich, die mit den Kosten, der Komplexität der Rechtsvorschriften und dem Mangel an qualifizierten Arbeitskräften zur Einhaltung der Vorschriften zusammenhängen. Die Unternehmen werden daher konkrete und wirksame Strategien und Lösungen umsetzen müssen, um den neuen Anforderungen gerecht zu werden und gleichzeitig ihre Wettbewerbsfähigkeit auf dem internationalen Markt zu erhalten. Nur so kann die Nachhaltigkeit ihrer Aktivitäten gewährleistet werden.
