NIS2: Governance im Fokus und was sich die Aufsichtsbehörde davon verspricht
International anerkannte Standards im Bereich der Informationssicherheit wie IS2700x zeigen es bereits: Governance ist ein wesentlicher Bestandteil für die erfolgreiche Implementierung von Organisationsstrukturen und Prozessen zum Schutz vor Cyber-Angriffen. Was bedeutet Governance und was regelt NIS2 dazu? Ebenso möchte ich die Frage beleuchten, was sich die Aufsicht von dem Governance-Rahmenwerken verspricht. Dies sollen die Leitfragen dieses Artikels sein und dazu werde ich die entsprechenden Passagen der NIS2-Richtlinie näher beleuchten.
Governance rückt zunehmenden in den Fokus
Wenn von Governance die Rede ist, wird häufig ganz allgemein von Steuerung sowie von organisatorischen Prozessen und Strukturen gesprochen. Bereits mit dem ersten IT-Sicherheitsgesetz von 2015 lag der Schwerpunkt der gesetzlichen Vorgaben auf der Umsetzung organisatorischer und technischer Maßnahmen zur Erhöhung der IT-Sicherheit. Betreiber kritischer Infrastrukturen mussten nachweisen, dass sie IT-Sicherheit nach dem “aktuellen Stand der Technik” umsetzen. Was dies konkret bedeutete, war jedoch auslegungsbedürftig und führte zu Unsicherheiten bei den betroffenen Unternehmen.
Um dem ganzheitlichen Ansatz gerecht zu werden, haben einige betroffene Unternehmen unter anderem Managementsysteme wie ISO2700x eingeführt. Die Norm ISO2700x sieht vor, dass die Steuerung der Informationssicherheit auf höchster Managementebene verankert ist und z.B. durch Budgets und die Benennung eines Informationssicherheitsbeauftragten (ISO) unterstützt werden muss. Eine persönliche Haftung der Leitungsebene oder andere Sanktionsmöglichkeiten ergeben sich weniger durch ein Managementsystem, sondern müssen durch den gesetzlichen Rahmen erfolgen.
Hier setzt die NIS2-Richtlinie in Artikel 20 an.
Leistungsebene wird verantwortlich gemacht
Mit Artikel 20 Absatz 1 der NIS-Richtlinie2 sind die “Leitungsorgane” für die Einhaltung der Risikomanagementmaßnahmen im Bereich der Cybersicherheit verantwortlich, z.B. Geschäftsführer:innen oder Vorstände. Sie überwachen nicht nur die Umsetzung, sondern haften auch bei Mängeln/Verletzungen.
Dies ist an sich nichts Neues. Interessant wird die Frage, welche Sanktionen bei festgestellten Verstößen drohen. Erste Hinweise dazu finden sich im Referentenentwurf des NIS2-Umsetzungsgesetzes.
Der §64 des NIS2-Umsetzungsgesetzes in der Entwurfsfassung vom 03.07.2023 sieht beispielsweise vor, dass das BSI für besonders wichtige Einrichtungen einen Überwachungsbeauftragten bestellen kann, der explizit die Einhaltung der Verpflichtungen überwacht. Dieses Vorgehen erinnert mich an den Sonderbeauftragten der BaFin bei der Deutschen Bank, der im Auftrag der BaFin die Umsetzung der Maßnahmen zur Geldwäscheprävention überprüft.
In einem weiteren Schritt kann besonders wichtigen Instituten nach §64 die Betriebserlaubnis für einen Teil oder alle Dienstleistungen entzogen werden. Dies ist vergleichbar mit der Schließung eines Restaurants bei gesundheitsgefährdenden Verstößen (z.B. wegen mangelnder Hygiene). Dies kann sogar so weit gehen, dass der Geschäftsführung bis zur Behebung der Mängel die Ausübung ihrer Tätigkeit vorübergehend untersagt wird.
Abgerundet werden die Sanktionsmaßnahmen durch die vorgesehenen Bußgelder. Besonders wichtige Anlagen und Betreiber kritischer Anlagen können mit einer Geldbuße von bis zu 10 Mio. € oder einem Höchstbetrag von mindestens 2 % des gesamten weltweit erzielten Umsatzes des Unternehmens im vorangegangenen Geschäftsjahr belegt werden.
In einer weiteren Stufe können besonders wichtige Einrichtungen laut §64 Betriebsgenehmigungen für einen Teil oder alle Dienste entzogen werden. Diese Vorgehen ist vergleichbar mit der Schließung eines Restaurants bei gesundheitsgefährdenden Verstößen (z.B. auf Grund von mangelnder Hygiene). Das kann sogar soweit führen, dass der Geschäftsführung die Wahrung der Leitungsaufgaben vorübergehend untersagt werden, bis die Mängel behoben sind.
Abgerundet werden die Sanktionierungsmaßnahmen durch die vorgebenen Bußgelder. Besonders wichtige Einrichtungen und Betreiber kritischer Anlagen können mit einer Geldbuße von bis zu 10 Millionen € oder mit dem Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens belangt werden. Für wichtige Einrichtungen sind die Bußgelder etwas niedriger.
Die Höhe der Bußgelder erinnert mich an die DSGVO, wo sogar bis zu 20 Millionen oder ein Höchstbetrag von mindestens 4% des gesamten weltweit erzielten Umsatzes des vorangegangenen Geschäftsjahres werden können.
Dass die Androhung solch hoher Bußgelder Reaktionen hervorrufen kann, zeigt mir die Unsicherheit der Unternehmen vor Einführung der DSGVO. In diesem Zusammenhang haben einige Unternehmen Webseiten offline genommen oder auf Data Analytics verzichtet, da sie befürchteten nicht datenschutzkonform zu sein.
Leitungsorgane müssen zu Cyber-Risiken geschult werden
Neben der Verantwortung für Cybersicherheit auf Leitungsebene verpflichtet Artikel 20 Absatz 2 die Mitglieder der Leitungsorgane zu regelmäßigen Schulungen, damit sie über das Know-how und die Fähigkeiten verfügen, Risiken zu bewerten und entsprechende Maßnahmen zu ergreifen.
Meiner Meinung nach ist dies der richtige Ansatz, denn meine Beobachtungen zeigen, dass wenn das Bewusstsein für Cybersicherheit in der Geschäftsleitung nicht ausreichend vorhanden ist, Informationssicherheit als “regulatorisches Übel” wahrgenommen wird und Investitionen in diesem Bereich nur mit viel Überzeugungsarbeit oder Druck von außen erfolgen. Das Management muss das Thema Cybersicherheit vorleben, um als gutes Beispiel den Veränderungsprozess in der Organisation zu ermöglichen. Denn letztlich ist Cybersicherheit eine Aufgabe der gesamten Organisation und jeder Einzelne trägt seinen Teil dazu bei. Und das nötige Wissen ist der erste Schritt in diese Richtung.
Wird die NIS2-Governance in Kombination mit den Bußgeldern die gewünschte Wirkung erzielen?
Die eigentliche Frage ist eher, ob die NIS2-Richtlinie dazu beitragen wird, das Niveau der Cybersicherheit zu erhöhen. Aus meiner Sicht ist das eine spannende Frage, die von verschiedenen Faktoren abhängt. Allerdings habe ich keine Glaskugel und bin auch kein Jurist, um ein abschließendes Urteil zu fällen. Daher möchte ich sie anhand meiner Beobachtungen bei ähnlichen Gesetzgebungen erläutern.
Ich glaube, dass die NIS2-Richtlinie den rechtlichen Rahmen schaffen kann, um das Niveau der Cybersicherheit zu erhöhen und die erforderliche Wirkung zu erzielen. Allerdings hängt vieles von der Umsetzung durch die Aufsichtsbehörden ab.
Das Beispiel der Datenschutz-Grundverordnung zeigt, dass die Androhung hoher Bußgelder zumindest dazu führt, dass sich Unternehmen mit den rechtlichen Anforderungen auseinandersetzen und Maßnahmen ergreifen. Die Bußgelder der NIS2-Richtlinie können meines Erachtens ähnliche Reaktionen hervorrufen, sobald es erste Präzedenzfälle gibt.
Dass es erfolgreiche Cyberangriffe gibt, können wir fast täglich in den Nachrichten lesen, aber es bleibt abzuwarten, wie sich die Aufsicht in Zukunft positioniert und inwieweit der gesetzliche Rahmen auch ausgeschöpft wird. Um ein Gefühl dafür zu bekommen, ist ein Blick in die Finanzwirtschaft sehr hilfreich.
Enge Aufsicht durch BaFin
In der Finanzwirtschaft besteht bereits eine sehr enge Überwachung der Branche durch die BaFin. Dabei ist zu beobachten, dass durch die laufende Aufsicht und Sonderprüfungen (KWG 44er) die Institute insbesondere im Bereich der Informationssicherheit in den letzten ca. 10 Jahren immer intensiver auf die Einhaltung der gesetzlichen Vorgaben geprüft werden/wurden.
Einige Institute haben durch diese Prüfungen erhebliche Mängellisten erhalten und waren dadurch gezwungen, in die Informationssicherheit zu investieren, um die gesetzlichen Anforderungen zu erfüllen. Mittlerweile ist zu beobachten, dass durch den Druck der Aufsicht und der gesetzlichen Vorgaben das Thema ernst genommen wird und die Investitionen in die eigene IT-Sicherheit, wenn auch teilweise noch zähneknirschend, erfolgen.
Entscheidend ist aber die Haltung der Aufsicht und da bin ich gespannt, wie sich das BSI positionieren wird. Man darf nicht vergessen, dass das BSI eine Vielzahl von Unternehmen beaufsichtigen wird. Nach dem NIS2-Umsetzungsgesetz sind zwar anlassbezogene Prüfungen in den Unternehmen möglich, um die Einhaltung der NIS2-Richtlinie zu überprüfen. Wie oft und in welchem Umfang diese Prüfungen durchgeführt werden, ist derzeit noch nicht absehbar.
Dies ist aus meiner Sicht auch einer der Gründe, warum ein Teil der betroffenen Unternehmen mit der Umsetzung der NIS2-Richtlinie derzeit noch abwartet. Vermutlich auch, weil Cybersecurity als Compliance-Thema und nicht als Wettbewerbsvorteil gesehen wird. Diesen Punkt werde ich aber in einem anderen Artikel aufgreifen und betrachten.
Fazit
Die Einführung der NIS2-Richtlinie verstärkt die wachsende Bedeutung der Governance, indem sie spezifische Anforderungen an die Governance-Strukturen innerhalb von Unternehmen stellt. Artikel 20 der NIS2-Richtlinie weist dabei den Leitungsorganen eine zentrale Rolle zu: Sie sind nicht nur für die Einhaltung von Cybersicherheitsmaßnahmen verantwortlich, sondern müssen auch für Verstößen gerade stehen.
Diese verschärfte Regelung zielt darauf ab, eine stärkere Rechenschaftspflicht und eine höhere Transparenz in der Unternehmensführung zu schaffen, was insbesondere durch strengere Sanktionen und Bußgelder unterstützt wird. Diese können gemäß den aktuellsten Entwürfen zum NIS2-Umsetzungsgesetz bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes betragen.
Zusätzlich werden Leitungsorgane zu regelmäßigen Schulungen verpflichtet, um ihr Verständnis und ihre Fähigkeiten im Umgang mit Cyber-Risiken zu verbessern. Dies ist ein entscheidender Schritt, um sicherzustellen, dass die obersten Führungsebenen die notwendigen Kenntnisse besitzen, um ihre verantwortungsvollen Aufgaben im Bereich der Cybersicherheit effektiv wahrzunehmen.
Abschließend lässt sich sagen, dass die NIS2-Richtlinie durch die Stärkung der Governance-Strukturen und die Einführung signifikanter Sanktionen erwartet, das Sicherheitsniveau innerhalb der EU signifikant zu erhöhen. Sie verlangt von den Unternehmen eine proaktive Haltung zur Cybersicherheit, die weit über die bisherigen Anforderungen hinausgeht. Dies wird zweifelsohne zu einer stärkeren und resilienteren digitalen Infrastruktur in den Unternehmen führen.
🤷 Sie noch unsicher ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist?
➡️ Lesen Sie gerne meinen letzen Artikel dazu – hier Klicken
👍 Sie sind von der NIS2-Richtlinie betroffen und benötigen Unterstützung beim Umsetzen der Anforderungen in Ihre Prozesse und Organisationsstrukturen?
➡️ Kontaktieren Sie mich gerne auf LinkedIn
Wer mich noch nicht kennt: Mein Name ist Lars Kaulfuß und ich helfe KRITIS-Unternehmen beim Aufbau von resilienten Prozessen und Organisationsstrukturen zum Schutz vor Cyberangriffen. Meine Vision: Technologie menschlich machen, Struktur in Komplexität bringen und dauerhafte Erfolge sichern. Vertrauen, Qualität und Nachhaltigkeit sind die Säulen meiner Beratungsphilosophie. Mein Motto: Gemeinsam. IT-Security. Können.