Cyberattacken und die damit verbundenen Folgen gehören seit Jahren zu den größten makroökonomischen aber auch betriebswirtschaftlichen Risiken weltweit. Abhilfe soll nun aus der Politik kommen. Im Spätherbst 2022 hat die Europäischen Union die sogenannte NIS 2 Richtlinie verabschiedet. Sie soll die Cyberresilienz in der EU ganzheitlich aufbauen und stärken. Welche Themen und Maßnahmen beinhaltet sind und welche Unternehmen sie betrifft, erfahren Sie in diesem Beitrag.
Die Cybersicherheitslage bleibt angespannt und undurchsichtig
Cyberkriminalität bleibt nach wie vor eines der größten Geschäftsrisiken Deutschlands: 9 von 10 Unternehmen sind mittlerweile von Cyberangriffen betroffen. Hierzu zählen Phishing-Angriffe, Angriffe mit Erpressersoftware sowie Social Engineering. Aber auch Spionageangriffe und Datenschutzvorfälle reihen sich in die lange Liste der Bedrohungsszenarien aus dem Internet ein. Die möglichen Folgen dieser Angriffe sind horrend: Neben dem monetären Schaden haben Unternehmen langfristig mit weiteren Folgen zu kämpfen. Dazu zählen Betriebsausfälle, die Beschaffung einer neuen IT-Infrastruktur, Datenlecks, Reputationsverluste und aufgedeckte Betriebsgeheimnisse. Die deutsche Wirtschaft erleidet allein durch Cyberkriminalität jährlich Schäden in dreistelliger Milliardenhöhe.
Cyberversicherungsmarkt wird Verlustgeschäft
Um das finanzielle und teilweise existentielle Risiko abzufangen, das von Cyberangriffen ausgeht, steigt die Nachfrage nach Cyberversicherungen. Versicherer können das Risiko allerdings kaum mehr alleine tragen. Dies spiegelt die Bilanz aus dem Jahr 2022 wider: Erstmalig stellte sich der Cyberversicherungsmarkt als Verlustgeschäft heraus. Zu hoch waren die unmittelbaren wie auch die Folgekosten, die aus Cyberangriffen resultieren. Eine Schlussfolgerung ist, dass nun Versicherungsnehmer hinsichtlich des eigenen Cyberschutzes stärker in die Pflicht genommen werden müssen. Dem zugute kommen die neuen Vorgaben des Europäischen Parlaments.
Gemeinschaftlicher Grundschutz gegen Cyberbedrohungen
Um der wachsenden Cyberkriminalität entgegenzuwirken, verabschiedete die Europäische Union bereits im Jahr 2016 eine Richtlinie zur Gewährleistung der Netz- und Informationssicherheit – kurz NIS. Ziel dieser Richtlinie (EU) 2016/1148 war der Aufbau von Cyberresilienz in der gesamten EU. Bedrohungen für Netz- und Informationssysteme wesentlicher Dienste sollten durch die Umsetzung von Maßnahmen für mehr Cybersicherheit verringert werden.
Die sich weiter zuspitzende Cyber-Bedrohungslage sowie eine teilweise langsame und unzureichende Umsetzung der Richtlinien in einigen Ländern der EU führten zu einer Überarbeitung und Schärfung der Richtlinie im Jahr 2022. Mindestanforderungen wurden für alle Mitgliedstaaten verpflichtend gemacht. Diese wurden in einer aktualisierten Richtlinie über die Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (Kurz NIS 2 – (EU) 2022/2555) zusammengefasst (Amtsblatt der Europäischen Union).
Der Maßnahmenkatalog für mehr Cybersicherheit
Im Sinne einer ganzheitlichen und nachhaltigen gesamteuropäischen Cyberabwehr wurden Maßnahmen für mehr Cybersicherheit definiert und im Artikel 21 der NSI 2-Richtlinie niedergeschrieben. Die Maßnahmen betreffen sowohl technische als auch didaktische Bestandteile einer effektiven Cyberabwehr in Unternehmen. Durch die Erfassung des eigenen Risikopotentials, die Definition eines Notfallmanagements, die präventive Vorbeugung durch bewusstseinsbildende Maßnahmen der Belegschaft sowie eine lückenlose IT-Infrastruktur soll die Angriffsfläche für Bedrohungen aus dem Internet reduziert werden.
Die wichtigsten Maßnahmen auf einen Blick:
• Konzepte der Risikobewertung, Risikoanalyse und Informationssicherheit
• Krisenmanagement und Umgang mit Sicherheitsvorfällen
• Sicherstellung des Geschäftsbetriebs (Backup-Management)
• Bereitstellung von Konzepten zur Zugriffssicherheit
• Bereitstellung von Konzepten zur Multi-Faktor-Authentifizierung und verschlüsselter Kommunikation
• Präventive Maßnahmen (z. B. grundlegende Verfahren zur Cyberhygiene und Schulungen im Bereich der Cybersicherheit, Sicherheit des Personals)
Ausweitung der Betroffenheit
Neben Vorgaben zu Cyberhygiene-Maßnahmen, die Unternehmen implementieren und vorweisen müssen, wurde auch die Gruppe der betroffenen Branchen, Industrien, Unternehmen sowie Unternehmensgrößen angepasst. Hier ist besondere Vorsicht geboten, da Unternehmen, die von der Richtlinie aus dem Jahr 2016 ausgenommen waren, jetzt in die Pflicht genommen werden könnten. Wir raten allen Unternehmen eindringlich zu einer Überprüfung ihrer Betroffenheit.
Die Ausweitung der NIS 2-Richtlinie umfasst, dass neben “wesentlichen” Sektoren nun auch “wichtige” Sektoren herangezogen werden.