Kritis-Dachgesetz, NIS2 und die DORA-Richtlinie stehen vor der Tür. Diese müssen demnächst in deutsches Recht umgesetzt werden oder unmittelbar ohne nationale Anpassung angewandt werden. Unsere Experten erläutern im Interview für das Magazin PROTECTOR, wer sich auf Veränderungen gefasst machen muss und was passiert, wenn die kommenden Voraussetzungen nicht erfüllt werden.

Unsere Experten gaben einen Einblick in die Veränderungen, die mit dem Kritis-Dachgesetz und NIS2-Umsetzungsgesetz einhergehen werden. Wie der aktuelle Stand der Gesetzgebungen ist und wie sie die Situation im Markt einschätzen, haben deshalb Holger Koeppe und Matthias Kurfels, Managing Consultants sowie Isaac Michael, Informationssicherheitsbeauftragter und Christina Renner, Senior Consultant für Informationssicherheit, beantwortet.

1. Mit dem NIS2-Umsetzungsgesetz kommen einige Veränderungen auf die Sicherheitsbranche aber auch auf deren Kunden zu. Wer wird maßgeblich davon betroffen sein?

Holger Koeppe: Grundsätzlich werden Einrichtungen und Organisationen davon betroffen sein, die wichtige und besonders wichtige Dienste anbieten. Also Dienstleistungen oder Produktionen die im Krisenfall einen großen Einfluss auf das Funktionieren der vorhandenen Infrastruktur besitzen. Formell beschreibt der Gesetzesentwurf damit alle Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz ab 10 Millionen Euro. Besonders wichtige Einrichtungen definieren sich dadurch, dass sie mindestens 250 Mitarbeiter beschäftigen, einen Jahresumsatz ab 50 Millionen Euro und eine Jahresbilanzsumme von mindesten 43 Millionen Euro erzielen.

Außerdem müssen sich diese Unternehmen speziell definierten Sektoren zuordnen lassen. In diesen Sektoren gelten dann noch festgelegte Kriterien, beispielsweise, wie viele Haushalte mit den Leistungen der Organisation versorgt werden oder wie hoch die Erzeugerwerte in der Strom- oder Gasversorgung sind. Also eine etwas komplexe Zusammenstellung von Kriterien, die darüber entscheidet, ob die Anforderungen nach NIS2 erfüllt werden müssen oder nicht. Es wird von geschätzt 40.000 Unternehmen ausgegangen, die von der Umsetzung des Gesetzes betroffen sein werden.

Trotzdem können die Anforderungen auch auf eigenen Wunsch umgesetzt werden, auch wenn man nicht dazu verpflichtet ist. So sind Regelwerke wie die ISO 27001 oder der BSI-Grundschutz sichere Alternativen dafür. Denn ehrlich gesagt macht man es Angreifern, die es auf digitale Infrastrukturen abgesehen haben, nur noch einfacher, wenn es keine Schutzmaßnahmen gibt. Unabhängig davon, ob man letztendlich gesetzlich dazu verpflichtet ist oder nicht.

2. Auch die Dora-Richtlinie wirkt sich auf den Markt aus. Was ist Dora konkret und welche Auswirkungen hat diese für Unternehmen?

Matthias Kurfels: Dora ist die Abkürzung für „Digital Operational Resilience Act“, einer Verordnung auf EU-Ebene, die im Jahr 2022 erlassen wurde und ab 17. Januar 2025 verbindlich anzuwenden ist. Dora wird durch zahlreiche Auslegungsbestimmungen ergänzt, die als delegierte Verordnungen der EU veröffentlicht werden.

Im Mittelpunkt steht die Stärkung der Widerstandsfähigkeit von Finanzunternehmen gegen Cyberbedrohungen und die Verbesserung der Steuerung und Überwachung von Informations- und Kommunikationsdienstleistern (IKT) sowie deren Sub-Dienstleistern. Der Verordnungsgeber fordert neben soliden und detaillierten Regelungen auf Unternehmensebene („IKT-Governancerahmen“) auch zahlreiche realitätsnahe Tests (PenTests, Notfalltests), in die zum Teil auch die Dienstleister der Finanzunternehmen eingebunden werden müssen. Die IKT-Dienstleister der Finanzunternehmen müssen über eine Zertifizierung ihrer Informationssicherheit verfügen, damit weniger Gefährdungen von ihnen ausgehen.

Dora wendet sich an die gesamte Finanzindustrie, also Banken, Versicherer, Zahlungsdienstleister und Kapitalverwaltungsgesellschaften, und harmonisiert bereits bestehende Regelungen über diese Branchen hinweg. Zudem werden neue Anbieter wie Kontodienstleister (z. B. Kontowechselservices), Schwarmfinanzierer und Anbieter von Kryptodienstleistungen von der Richtlinie erfasst, die sich erstmals mit der digitalen Widerstandsfähigkeit befassen müssen. Die europäische Finanzaufsicht wird auf Dora-Basis insbesondere die kritischen IKT-Dienstleister stärker überwachen, da ihre Leistungen von einer Vielzahl von Finanzunternehmen genutzt werden und so sehr leicht ein systemisches Risiko für die Finanzindustrie entstehen kann, wenn diese IKT-Dienstleister Cyberbedrohungen nicht in den Griff bekommen.

3. Wie ist der aktuelle Stand von NIS2 und Kritis und wie schätzen Sie die Situation im Markt in Bezug auf die Richtlinien ein?

Isaac Michael: Aktuell liegt ein Regierungsentwurf vom 24.7.24 zum NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS2 UmsuCG vor. Eine etwas sperrige Bezeichnung, die allerdings schon darauf hinweisen soll, worum es in diesem Gesetz gehen soll. Nämlich um den Ausbau von Aktivitäten zur Abwehr von Angriffen durch Cyberkriminelle. Ein Thema, das vor allem im Mittelstand noch kein großes Bewusstsein erreicht hat. Mit der Umsetzung des Gesetzes soll aber genau dort angesetzt werden. Die Unternehmen sollen verstehen, dass die gewünschte Wertschöpfung heutzutage in zunehmendem Maße auch davon abhängt, wie gut Datensysteme und Informationen geschützt sind. Ein allzu sorgloser Umgang damit kann großen Schaden verursachen, wie prominente Beispiele in der Vergangenheit bereits gezeigt haben.

Der Ausfall von Produktion, das Ausbleiben von Lieferungen für Rohstoffe oder die Manipulation von Daten und Informationen kann Unternehmen in die Insolvenz treiben. Deshalb gehen wir davon aus, dass zahlreiche Organisationen mit der Umsetzung der Anforderungen überfordert sein werden. Das liegt zum einen am fehlenden Know-how, da wenige Unternehmen in den letzten Jahren gezielt in Richtung IT-Expertise rekrutiert haben. Zum anderen fehlt es allerdings auch an geeignetem Personal, aufgrund des Fachkräftemangels. Da die erforderlichen Maßnahmen auch mit Investitionen in physische Sicherheit der Betriebsstätten zusammenhängen oder modernere, digitale Systeme zur Überwachung der Infrastruktur angeschafft werden müssten, werden diese Ausgaben meist gemieden. Das kann fatale Folgen haben.

4. Werden Unternehmen Ihrer Meinung nach dem Druck nicht standhalten, der mit den Gesetzgebungen auf sie zukommt und deshalb vom Markt verschwinden? Wer könnte das sein?

Holger Koeppe: Dass Unternehmen vom Markt verschwinden, kann so pauschal nicht mit fehlenden Maßnahmen in die Sicherung von digitalen Infrastrukturen begründet werden. Dafür kann es eine Vielzahl von Ursachen geben. Sicher sind die Herausforderungen an die Unternehmen gestiegen, gesetzliche und behördliche Anforderungen zu erfüllen. Sicher ist das auch ein Grund, warum viele Unternehmen den hohen administrativen Aufwand rund um ihr eigentliches Kerngeschäft über ihre Verbände kritisch diskutieren. Wer jedoch die Gefahren für sein Unternehmen unterschätzt, der riskiert am Ende, dass sich seine Vorstellung von der Entwicklung des geplanten Geschäftes nicht erfüllen wird. Das gilt sowohl für die Abwehr von Cyberangriffen als auch für die Vermeidung von Unfällen im Rahmen des Arbeitsschutzes oder der Produktsicherheit. Hier greift die Verantwortung der Unternehmensleitung mit den richtigen Prioritäten und strategischen Maßnahmen den Fortbestand des Unternehmens zu sichern. Dafür stehen sie auch in der persönlichen Haftung.

5. Welche Voraussetzungen müssen Unternehmen erfüllen, damit sie gut aufgestellt sind und von den Herausforderungen der Richtlinien nicht „kalt erwischt“ werden?

Christina Renner: Auch dafür gibt es keine pauschale Antwort. Die Maßnahmen zur Stärkung der eigenen Resilienz, also der Fähigkeit sich gegen Cyberattacken zu schützen, sind so individuell wie es die Unternehmen in aller Regel selbst sind. Wenn ein Regelwerk wie z.B. die internationale Norm ISO 27001 in seiner aktuellen Version bereits eingeführt und etabliert ist, dann sind die Anforderungen des NIS2 UmsuCG bereits zu großen Teilen erfüllt. Das gilt auch für die Nutzung des BSI-Grundschutzes oder anderer Standards. Das hat den Vorteil, dass bereits ein gewisses Bewusstsein für die Thematik bei den Mitarbeitenden vorhanden ist. Dies erleichtert unserer Erfahrung nach auch die noch nicht erfüllten NIS2 Kriterien umzusetzen. Doch eines sollte von Beginn an klar sein: NIS2 ist weitaus mehr als die Implementierung technischer Lösungen wie Firewalls, Antivirenprogramme oder anderer Cybersicherheitsprodukte. Hersteller von Sicherheitslösungen preisen ihre Produkte häufig als die ultimative Antwort auf gesetzliche Anforderungen wie NIS2 an. Doch dies greift zu kurz.

Was zudem oft unterschätzt wird, ist, dass sich Maßnahmen zum Schutz von Daten und Informationen auch auf den physischen Schutz, also die Sicherung der Arbeitsstätten und Gebäude beziehen sollte. Denn die besten Maßnahmen digitale Informationen und Daten zu sichern, sind in Gefahr, wenn es zum Beispiel gelingt, mit mobilen Datenträgern Viren in die Infrastruktur einzuschleusen, oder über das Einspielen spezieller Programme nachhaltig zu manipulieren. Offene Türen und Tore, ungesicherte Laptops oder fehlende Besuchersteuerungen können dadurch zu einer echten Gefahr für die Unternehmenswerte werden. Kurzum, das richtige Vorgehen bei der Sicherung der eigenen Infrastruktur zu finden, bedeutet eine gründliche Analyse des Reifegrades der bereits ergriffenen Maßnahmen durchzuführen. Unter dem Reifegrad versteht man dann, ob eine Maßnahme wahrnehmbare Wirkung erzeugt, ob sie nur beschrieben ist, oder ob die Planung dazu noch nicht stattgefunden hat.

6. evolving systems consulting dient als Berater für die kommenden Richtlinien. Welche Leistungen können Unternehmen erwarten, die Ihre Services in Anspruch nehmen?

Matthias Kurfels: Im Kern bieten wir drei Leistungstypen an, die auf die jeweilige Situation bei den Unternehmen angepasst werden können.

  • Mit einer GAP-Analyse stellen wir den eben beschriebenen Reifegrad der Organisation fest. Dabei führen wir Interviews mit den für das jeweilige Themengebiet verantwortlichen Mitarbeitenden durch. Darüber hinaus erörtern wir mit der Geschäftsleitung die strategische Ausrichtung und geben Impulse für erforderliche Änderungen. Wo es sinnvoll ist, verschaffen wir uns auch vor Ort einen Eindruck von der Umsetzung bisheriger Maßnahmen.
  • In einem Sensibilisierungs-Workshop planen wir mit der Geschäftsleitung ein mögliches Vorgehen bei der Stärkung oder dem Aufbau geeigneter Resilienz Strategien. In diesem Workshop fließen die Ergebnisse der Interviews und der Begehung mit ein.
  • In der sich anschließenden Umsetzungsbegleitung helfen wir methodisch bei der Planung und Umsetzung notwendiger Projekte, liefern Vorlagen zur Dokumentation und unterstützen bei Schulungsmaßnahmen.

Diese drei Leistungen passen wir in Umfang und Inhalt der beim Kunden vorhandenen Ressourcen und Maßnahmenumfänge an. Das hat die Vorteile, dass wir in der Begleitung das Know-how beim Kunden sowie die Dokumentation aufbauen oder optimieren und die Organisation bei der Umsetzung der notwendigen Anforderungen unterstützt und nicht überfordert wird. Am Ende unserer Zusammenarbeit kann das Unternehmen die notwendigen Anforderungen vorweisen, um ihrer gesetzlichen Verpflichtung nachzukommen.

7. Sind Ihre Services zertifiziert oder anderweitig staatlich geprüft?

Isaac Michael: Die evolving systems consulting GmbH ist selbst nach dem internationalen Standard der ISO 27001:2022 zertifiziert und arbeitet dementsprechend an der ständigen Verbesserung ihrer eigenen Sicherheitsprozesse nach dem geforderten Prinzip des Plan-Do-Check-Act. Wir nutzen Systeme und Standards gemäß dem Stand der Technik. Außerdem erfüllen wir die Standards der DSGVO und überprüfen diese regelmäßig bei unseren Partnern und Dienstleistern.

8. Wie sind Unternehmen auch rechtlich in Bezug auf die Richtlinien gut aufgestellt, wenn Sie sich von Ihnen beraten lassen?

Christina Renner: Wir arbeiten mit Partnern zusammen, die sich auf die rechtlichen Anforderungen der Daten- und Informationssicherheit spezialisiert haben. In unserer Arbeit nutzen wir unsere Erfahrung in der „Übersetzung“ von Anforderungen aus entsprechenden Regelwerken, wie dem NIS2 UmsuCG oder der ISO 27001. Wir überführen also den „Normsprech“ in konkret wahrnehmbare Maßnahmen zum Schutz der IT-Infrastruktur unserer Kunden.

Das ist vor allem für die Akzeptanz dieser Maßnahmen wichtig. Denn nur wenn alle Mitarbeitenden auch verstehen, was sie zu tun haben, wenn sie Angriffe bemerken, können sie entsprechend handeln. Da helfen keine „akademisierten“ Begrifflichkeiten, da werden eindeutige Dokumente und klare Prozesse benötigt, die wir mit den beteiligten Mitarbeitenden gemeinsam entwickeln. Wer beteiligt wird, der akzeptiert in aller Regel auch die Ergebnisse und setzt sie in im täglichen Handeln erfolgreich um.

Zum Interview im Protector-Magazin

Das Interview-Team