Hier schreiben regelmäßig Aon Expertinnen und Experten zu aktuellen Entwicklungen in den Themenfeldern Risiko, Kapital und Human Resources. Mit diesen Informationen und Erkenntnissen können Führungskräfte bessere Entscheidungen für ihr Unternehmen treffen.
EU verabschiedet neue Cyberrichtlinie NIS 2.0 – zahlreiche Unternehmen müssen jetzt handeln
Seit November 2022 ist es beschlossene Sache: Eine neue Cyberrichtlinie zur Sicherheit von Netz- und Informationssystemen – am 16.01.2023 in Kraft getreten – soll europaweit für mehr Cybersicherheit sorgen. Damit wird die einigen bereits als NIS (Network & Information Security) bekannte Richtlinie aus dem Jahr 2016 durch eine vielfach strengere Regulierung ersetzt. Ab sofort sind erheblich mehr Unternehmen dazu aufgefordert, mehr in Sachen Cybersicherheit zu tun – bei Nichteinhaltung drohen immens hohe Geldstrafen. Welche Unternehmen handeln müssen, wie lange sie dafür Zeit haben und was konkret zu tun ist, erklärt Dr. Gunnar Siebert, Cyberexperte bei Aon, im Interview.
Warum wurde die NIS-Richtlinie überarbeitet?
Dr. Gunnar Siebert: Das Level der Digitalisierung heute ist längst nicht mehr vergleichbar mit der Situation in 2016, als NIS1.0 verabschiedet wurde. Daten, Systeme und Infrastrukturen werden immer komplexer und gleichzeitig wichtiger für die Wettbewerbsfähigkeit von Unternehmen. Dabei sind einige Branchen unverzichtbar für eine funktionierende globale Wirtschaft. Um unser Wirtschaftssystem auch mit Blick auf immer neue Risikosituationen zu schützen und europaweite Sicherheitsstandards zu schaffen, brauchte es zeitgemäße Regularien. Darüber hinaus wird jetzt klarer definiert, welche Unternehmen betroffen sind. Die ursprüngliche NIS hatte den Ländern mehr Freiheiten in der Definition von kritischer Infrastruktur gelassen als die neue Richtlinie.
Welche Unternehmen sind von der neuen Richtlinie betroffen?
Dr. Gunnar Siebert: Im Gegensatz zur alten Richtlinie, nach der nur sogenannte Betreiber wesentlicher Dienste oder Anbieter digitaler Dienste adressiert wurden, sind nun sehr viel mehr Unternehmen betroffen. Die EU unterteilt dabei in wichtige und wesentliche (also kritische und superkritische) Einrichtungen, welche unter anderem Energieversorger, Onlinemarktplätze, Konzerne, aber auch zahlreiche Mittelständler ab 50 Mitarbeitenden und zehn Millionen Euro Umsatz und sogar Behörden miteinschließt.
Wann tritt das Gesetz in Kraft?
Dr. Gunnar Siebert: Das Gesetz wurde am 16. Januar 2023 verabschiedet. Jetzt müssen zunächst die Regierungen handeln und nationale Gesetze und Behörden schaffen. Juristisch und politisch besteht hier die Frage, ob die Regierungen den Unternehmen noch eine Gnadenfrist gewähren, sobald die Gesetze in Kraft getreten sind. Diese Frage kann jedoch nur von den Gesetzgebern beantwortet werden. Ohne eine solche Gnadenfrist haben betroffene Unternehmen ansonsten bis Herbst 2024 Zeit, die an sie gestellten Anforderungen umzusetzen. Ein sehr enger und – zugegeben – für die Gesamtheit kaum zu bewerkstelligender Zeitraum, der schnelles Handeln erfordert.
Die einzelnen EU-Staaten werden sicherlich zeitnah eine Meldung mit Details wie beispielsweise den Meldewegen und den zuständigen Behörden, an die gemeldet werden muss, mittteilen. In Deutschland wird das mit ziemlicher Sicherheit das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein. Unternehmen können also bereits mit den Vorbereitungen beginnen. Denn mit Blick auf die knappe Frist gilt: Je früher, desto besser.
Was ist Gegenstand der neuen Richtline und wo liegen die Herausforderungen?
Dr. Gunnar Siebert: Die Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS2.0) bringt neue regulatorische Vorgaben für einen Großteil der Unternehmen in ganz Europa, die in irgendeiner Form Informations- and Kommunikationstechnik einsetzen (also quasi fast alle). Sie schreibt zum einen ein bestimmtes Maß an Sicherheitsmaßnahmen für solche Unternehmen vor. Zum anderen regelt sie, was zu tun ist, wenn Unternehmen einem Cybervorfall zum Opfer gefallen sind. Diese müssen dann im Falle eines Cybervorfalles drei konkrete Schritte innerhalb eines straffen Zeitraums erfüllen:
- Innerhalb von 24 Stunden nach einem Cyberangriff muss eine erste Warnung an die im Land zuständige Behörde erfolgen.
- Innerhalb von 72 Stunden müssen weitere Informationen über den Vorfall geliefert werden.
- Innerhalb von einem Monat muss schließlich ein finaler ausführlicher Report zum Incident vorliegen.
Eine Herausforderung, insbesondere für kleinere Unternehmen, die derzeit vielfach gar nicht über die nötigen Mittel und Ressourcen verfügen, einen solchen Prozess aufzusetzen oder sogar einen Report anzufertigen, geschweige denn die Ursachen und benötigten Informationen identifizieren können. Die kurze Frist bis zum Inkrafttreten der Richtlinie stellt aber auch den gesamten Markt vor eine Herausforderung. Denn nunmehr werden vielfach externe Dienstleister und Cybersicherheitsexperten benötigt, deren Kapazitäten natürlich auch begrenzt sind. Darüber hinaus stellt alleine die Verbreitung der NIS2.0 bereits eine Schwierigkeit dar.
Mit welchen Strafen muss bei Nichteinhaltung der Cyberrichtlinie gerechnet werden?
Dr. Gunnar Siebert: Wer sich nicht an die Vorschrift hält, dem drohen – ähnlich wie bei DSGVO – sehr hohe Geldstrafen. Bei wesentlichen Unternehmen können das rund 10 Millionen Euro (2 Prozent des Umsatzes) und bei wichtigen Unternehmen 7 Millionen Euro (1,4 Prozent des Umsatzes) sein. Dabei ist schon die Unterteilung in diese beiden Kategorien schwierig für alle.
Werden betroffene Unternehmen darüber informiert, dass sie handeln müssen?
Dr. Gunnar Siebert: Leider nein – sie müssen sich selbst informieren, ob sie zu den wesentlichen oder wichtigen Unternehmen gehören. Im Anhang der NIS2.0 befindet sich eine Liste mit betroffenen Branchen. Darüber hinaus können Unternehmen ihre Betroffenheit mit Hilfe der NACE-Liste online bei der IHK oder ihren Verbänden überprüfen. NACE beschreibt die statistische Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft, nach der auch die hier thematisierte Einstufung erfolgte. Wer sich dennoch unsicher ist, kann sich natürlich jederzeit an uns wenden. Gerne klären wir bei Aon die etwaige Betroffenheit und unterstützen bei den nächsten Schritten.
Wie bewerten Sie die neue Richtlinie?
Dr. Gunnar Siebert: Einmal abgesehen von dem straffen Zeitplan bis zur Umsetzung, ist die NIS2.0 eigentlich sehr zu begrüßen. So wird gezwungenermaßen europaweit die Cyberresilienz gestärkt, was ja an sich etwas sehr Gutes ist. Denn Unternehmen werden zwangsläufig widerstandsfähiger und die Wirtschaft weniger angreifbar. Ein zweiter positiver Aspekt ist die Erhöhung des sogenannten IT-Reifegrades eines jeden Unternehmens. Dieser besagt, wie sicher ein Unternehmen ist, was wiederum auch den Vorteil hat, dass Unternehmen damit versicherbar sind. Da in den Organisationen Sicherheits- und Präventionsmaßnahmen jetzt erhöht werden, erhalten diese auch mit höherer Wahrscheinlichkeit einen adäquaten Versicherungsschutz. Und das macht sie in der Folge auch wieder resilienter gegenüber zukünftigen Risiken.Darüber hinaus wird ein europaweiter Austausch vorangetrieben – ganz nach dem Motto „Sharing is Caring“. Ich bin mir sicher, dass alle EU-Länder voneinander lernen können.
Wie unterstützt Aon?
Dr. Gunnar Siebert: Wir bei Aon wissen, vor welch einer Mammutaufgabe viele Unternehmen jetzt stehen. Doch damit lassen wir sie nicht alleine. Mit unserem Cyber Loop sind wir weltweit einer der größten Cybersicherheitsexperten bestehend aus einem internationalen Netzwerk aus rund 600 Cyberexperten und basierend auf zahlreichen Erfahrungen vergangener Cybervorfälle, auf die wir stetig aufbauen. Unsere Kunden können sich hier also auf einen ganzheitlichen und internationalen Service verlassen, der sie mit der nötigen Expertise ausstattet. Dabei beginnen wir in der Regel zunächst mit einem Risiko Assessment, also einer Bewertung der individuellen Risikosituation. Im nächsten Schritt erstellen wir dann eine Roadmap mit den entsprechenden Maßnahmen, wie einem Notfallplan, einem Business Continuity-Plan oder technologische Implementierungen wie z. B. eine Multi Factor Authentication (MFA).
Außerdem führt Aon eine Informationsreihe zu Themen wie DORA (Digital Operational Resilience Act) und NIS2.0 durch, bei denen unter anderem Fragen rund um die etwaige Betroffenheit und die Unterstützung durch Aon geklärt werden.
Weiterführende Infos:
Hier geht es zur NACE-Liste: Europa – RAMON – Classification Detail List
Mehr Informationen über den Aon Cyber Loop finden Sie hier: https://www.aon.com/cyberloop