Mit Wirkung vom 24. Juni ist die Regierungsverordnung mit dem IT-Anforderungssystem gemäß Gesetz über die Cybersicherheitszertifizierung und Cybersicherheitsaufsicht in Kraft getreten. Die Veröffentlichung der Durchführungsverordnung in Verbindung mit dem NIS2-Gesetz ist ein gleichermaßen bedeutender Schritt für die Firmen, die durch die Rechtsnorm betroffen sind, für die zukünftigen Auditoren und Berater.

Das 120 Seiten starke Dokument enthält nämlich genau die Anforderungen, auf deren Grundlage die Vorbereitung der betroffenen Firmen bereits in Angriff genommen werden kann und ihr 2025 beginnendes behördliches Cybersicherheitsaudit planbar wird.

Regeln für breite Zielgruppen

Die Verordnung umfasst ein gemeinsames Anforderungsverzeichnis, das gleichwohl für alle Gesellschaften angewendet werden kann, die in den beinahe 100 Tätigkeitsbereichen aktiv sind und der Geltung des NIS2-Gesetzes unterliegen. Aus diesem Grund ist ein ziemlich langes, allgemeines, jedoch gleichzeitig ausreichend detailliertes Material zustande gekommen.

Der Geltung des NIS2-Gesetzes unterliegen alle Gesellschaften,

• die mehr als 50 Personen beschäftigen,
• oder deren Jahresumsatz über 10 Mio. EUR liegt und
• in einem der aus strategischer Sicht kritischen Sektoren tätig sind.

Nach vorläufigen Schätzungen können etwa 2500 bis 3000 Wirtschaftstreibende direkt betroffen sein, jedoch indirekt kann sogar ein Mehrfaches davon mit der neuen Verordnung in Berührung kommen.

Ein Paket mit drei Kapiteln

In der Verordnung wird einerseits ein Risikomanagement-Rahmensystem  vorgestellt und andererseits sind darin ein Maßnahmenkatalog und ein Bedrohungskatalog enthalten, die bei den durch die Rechtsnorm betroffenen Unternehmen eingeführt und angewendet werden müssen.

Das Kapitel Risikomanagement enthält die grundlegenden Schritte, die dafür notwendig sind, dass die Informationssysteme kategorisiert werden und die Durchführung der damit verbundenen Sicherheitsmaßnahmen verfolgt werden können. In diesem Kapitel geht es also um die Regulierung der grundlegenden Maßnahmen. Im Falle der Firmen, die sich bisher noch nicht tiefer mit dem Risikomanagement  in Verbindung mit der Informationssicherheit beschäftigt haben, kann dieses Kapitel auch als eine Art Hilfestellung angesehen werden.

Im Zuge des Risikomanagements entsteht eine Aufzeichnung über die von der Gesellschaft genutzten Informationssysteme und alle darin erfassten Systeme werden einer der Kategorien (basis, bedeutend, hoch) gemäß Verordnung zugeordnet. Diese drei Kategorien bzw. das in der Verordnung  selbst dargestellte Risikomanagement-Rahmensystem weisen mehrere Ähnlichkeiten mit den bereits vorhandenen internationalen Risikomanagement-Standards auf, was den Wechsel zwischen diesen erleichtern kann.

Verblüffend viele Sicherheitsmaßnahmen gefordert

Anhand der Kategorisierung werden die zu den Systemen einzuführenden Schutzmaßnahmen benannt, die auch bei den zwingend vorgeschriebenen Audits erfragt und geprüft werden. Darin sind bei der Schutzkategorie “basis” mehr als 160, im Falle der Kategorie “bedeutend” mehr als 300 und bei der Schutzkategorie “hoch” schon beinahe 400 verpflichtend zu prüfende Kontrollpunkte und die damit verbundenen Maßnahmen enthalten. Zum Vergleich: in der letzten Version von 2022 des Informationssicherheits-Standards ISO 27001 wurden 93 Kontrollpunkte formuliert.

Darüber hinaus sind in der Verordnung weitere etwa 530 Schutzmaßnahmen vorgesehen, deren Verwendung im Regelfall nicht zwingend vorgeschrieben ist, jedoch in Abhängigkeit vom Sektor und den Tätigkeiten können die Gesellschaften auch deren Implementierung in ihr Informationssicherheits-Managementsystem prüfen.

Zur höheren Transparenz wurden die Schutzmaßnahmen in 19 Kategorien eingestuft, so zum Beispiel: Zugriffskontrolle, Schulungen, Systembeaufsichtigung, Geschäftskontinuität, Behandlung von Sicherheitsvorfällen, Sicherheit der Versorgungskette usw.

Es ist für jede Kategorie bezeichnend, dass im Sinne der Rechtsnorm nicht nur eine entsprechende Dokumentation und klare Verantwortungsbereiche von den betroffenen Gesellschaften erwartet werden, aber es werden auch organisatorische Maßnahmen und entsprechende technologische Reife benötigt, um bei den Audits erfolgreich abschneiden zu können.

Verpflichtend, jedoch ersetzbar

In der Verordnung wird mit Hinblick auf die speziellen Fälle ermöglicht, dass die Gesellschaften in gewissen Fällen  von den Regeln im erlassenen Katalog der Schutzmaßnahmen abweichen. Ein solcher Fall ist beispielsweise, wenn gewisse Maßnahmen im Hinblick auf die angewandte Technologie, das operative Umfeld, die physische Infrastruktur oder auf eine öffentliche Dienstleistung  nicht eingeführt werden können.

In den speziellen Fällen kann die Gesellschaft eigene Sicherheitsmaßnahmen als Ersatz anwenden, aber in diesem Fall muss zusätzlich dokumentiert werden, inwiefern die von ihr angewandten Maßnahmen besser sind als die Maßnahmen gemäß Verordnung. Darüber hinaus ist für eine regelmäßige Überprüfung der Dokumentation zu sorgen, die Umstände können sich ja mit der Zeit ändern. Ersatzmaßnahmen dürfen die Gesellschaften nur auf eigene Verantwortung und mit schriftlicher Zustimmung ihrer verantwortlichen Führungskraft einführen.

Schmerzhafte Compliance

Auch die verabschiedete Verordnung deutet darauf hin, dass die Compliance für einen bedeutenden Teil  der Gesellschaften, die der Geltung von NIS2 unterliegen, eine ernsthafte Herausforderung darstellen wird. Die Ausgestaltung der zwingend vorgeschriebenen Schutzmaßnahmen wird bei ihnen erhebliche Ressourcen und vor allem beträchtliche Zeit beanspruchen, es ist daher zweckmäßig, die Vorbereitung so früh wie möglich in Angriff zu nehmen, um bei den 2025 fälligen ersten behördlichen Audits erfolgreich abschneiden zu können.