Mit der NIS2-Richtlinie der EU soll eine Stärkung der Cybersicherheit in Europa und mehr Resilienz in der Wirtschaft erzeugt werden. Obwohl das deutsche NIS2-Umsetzungsgesetz bis Oktober 2024 hätte umgesetzt sein müssen, wird es sich aller Voraussicht nach noch deutlich verzögern. Wesentliche Teile sind jedoch bekannt und vorgegeben, die neuen Schulungs- und Überwachungspflichten durch Leitungsorgane werden kommen und können neue Impulse setzen.
NIS2UmsetzG: Der aktuelle Stand
Da NIS2 eine Richtlinie der EU ist, muss diese in deutsches Recht überführt werden. Die Frist hierfür ist im Oktober 2024 abgelaufen. Der letzte verfügbare Referentenentwurf hatte bereits einige Hürden genommen, u.a. die Anhörung der Sachverständigen. Dabei wurde zwar noch Anpassungsbedarf adressiert (u.a. keine Ausnahmeregelung für die Bundesverwaltung), doch im Großen und Ganzen gab es eine Idee für die Umsetzung der EU-Vorgabe in nationales Recht. Mit dem Ende der Ampel-Koalition und der damit einhergehenden de facto-Stilllegung der Gesetzgebungsverfahren dürfte sich das NIS2-Umsetzungsgesetz bis voraussichtlich Herbst 2025 verspäten.
Da die NIS2-Richtlinie in vielen Punkten bereits sehr konkret ist, klare Maßnahmen vorgibt und der aktuelle Entwurf zur nationalen Umsetzung einen hohen Reifegrad aufweist, bleibt der Spielraum für die Umsetzung – unabhängig vom Zeitpunkt oder der politischen Agenda – eher gering.
Schulungsverpflichtungen für Geschäfts- und Behördenleitungen
Im aktuellen Referentenentwurf des NIS2-Umsetzungsgesetzes sind die EU-Anforderungen zur Schulungsverpflichtung der Geschäftsleitungen (Kapitel 2 §38 Ziffer 2) sowie der Behördenleitungen (Kapitel 3 §43 Ziffer 2) nahezu identisch formuliert enthalten.
Gefordert wird, dass regelmäßig an Schulungen teilgenommen wird, um „ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken […] zu erwerben“. Außerdem wird der Geltungsbereich festgelegt, sich auf die Risiken zu fokussieren, die auf „von der Einrichtung erbrachte Dienste“ einwirken.
Das ist insofern beachtenswert, als dass Geschäftsleitungen sich nicht nur der Risiken bewusst sein sollen (siehe nächster Abschnitt), sondern augenscheinlich befähigt sein sollen, aktiv im Risikomanagement zu unterstützen. Methodisch handelt es sich dabei um die Prozesse der Identifizierung, Bewertung und Steuerung von Risiken, beispielsweise auf Basis der Normen ISO 31000, ISO 27005 bzw. BSI IT-Grundschutz 200-3.
Sowohl die Risikoidentifikation als auch die Bewertung von Eintrittswahrscheinlichkeiten und Schadenshöhen werden Geschäfts- und Behördenleitungen nicht auf einer tief technischen Ebene leisten können, die Formulierung „ausreichende Kenntnisse“ wird sich also auf die methodische Vorgehensweise sowie die wesentlichen, prozessgetriebenen Informationssicherheitsrisiken beschränken (müssen).
Der Ansatz bietet dennoch großes Potenzial: Die Leitungsebene wird nicht mehr Konsument von Risikoreports und zugehörigen Mitigationsbudgets, sondern zwangsweise in die Lage versetzt, Risikoanalysen hinterfragen zu können und auch die eigene Sicherheitsorganisation zu challengen.
Umsetzungsüberwachung bzw. Management Review
Die Umsetzungsüberwachung ist nicht identisch formuliert wie die Schulungsverpflichtung, während Behördenleitungen „dafür verantwortlich sind, […] die Voraussetzungen zur Gewährleistung der Informationssicherheit zu schaffen“ (Kapitel 3 §43 Ziffer 1), müssen Geschäftsleitungen die „Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen und ihre Umsetzung überwachen“ (Kapitel 2 §38 Ziffer 1).
Während Ersteres Raum für Delegation lässt, wird durch NIS2 die Geschäftsleitung direkt in den kontinuierlichen Verbesserungsprozess eines Informationssicherheitsmanagementsystems integriert. Das Gute ist: Die dafür benötigten Werkzeuge, zum Beispiel Management Reviews und interne Audits, stehen etabliert und gereift längst zur Verfügung.
Von „Müssen“ zu „Wollen“: Cybersicherheit als Führungsaufgabe
Sie möchten regelmäßig über den Status der Cybersicherheit in Ihrer Organisation informiert werden? Dann fordern Sie gezielt regelmäßige Management Reviews von Ihrer Sicherheitsorganisation ein. Diese sollten unter anderem den Fortschritt bereits beschlossener Maßnahmen, potenzielle Änderungen, KPIs zur Bewertung der ISMS-Leistungsfähigkeit, Ergebnisse der Risikoanalysen sowie Möglichkeiten zur kontinuierlichen Verbesserung enthalten.
Oft heißt es: „Der Fisch stinkt vom Kopf her“, wenn etwas nicht funktioniert. Doch wie oft wird betont, dass erfolgreiche Organisationen ein starkes Management haben? Gerade in der Cybersicherheit haben Führungskräfte weit mehr Einfluss, als nur Budgets freizugeben. Ihre Vorbildfunktion, die Arbeit in Gremien, der Austausch mit Stakeholdern und Kollegen sowie die gezielte Förderung von Security Awareness sind entscheidende Hebel. Die Unterstützung des Managements macht den Unterschied, damit “der Fisch vom Kopf her glänzt”.
Nutzen Sie außerdem das Prinzip der Schulungsverpflichtung im Bereich Informationssicherheit für Sie einmal für eine neue Perspektive in der Sicherheitsorganisation: Schicken Sie Ihren CISO oder ISB doch mal ins Controlling oder in die Produktion. Ein besseres Verständnis der Herausforderungen anderer Abteilungen fördert den gemeinsamen Austausch und stärkt das übergreifende Ziel: Der Aufbau einer produktiven, effizienten und resilienten Organisation, die ihren Geschäftszweck oder ihre staatliche Aufgabe optimal wahrnimmt.
Lesen Sie auch:
NIS2 – Mehr Cybersicherheit für die EU
NIS2-Richtlinie: Umsetzungsgesetz noch nicht in Sicht – was Organisationen jetzt tun sollten
