Dass Cyberattacken zu den größten Geschäftsrisiken weltweit zählen, ist nicht neu. Die durch Cyberkriminalität tatsächlich entstehenden Kosten, überraschen dennoch. Zwischen 2023 und 2028 werden die geschätzten weltweiten Kosten der Cyberkriminalität voraussichtlich um insgesamt 5,7 Billionen Dollar steigen und 2028 eine Höhe von 13,82 Billionen Dollar erreichen (Statista).
Auch deutsche Unternehmen stufen die Bedrohung von Cyberangriffen als sehr hoch ein. Laut Bitkom, entstand der deutschen Wirtschaft 2022 ein Schaden von 203 Milliarden Euro.
Und obwohl die Gefahr durch Cyberangriffe erkannt wurde, sind noch zu viele Unternehmen – vor allem im Bereich der kleinen und mittleren Unternehmen – nicht sicher aufgestellt.
Ausreden dürfen nicht mehr gelten
Es ist richtig, dass Unternehmen im Kampf gegen Cyberkriminelle vor einer Reihe von Herausforderungen stehen. Dazu zählen der Fachkräftemangel, das Problem der Budget- und Personalknappheit oder die Schwierigkeit, die richtigen Ansätze oder Maßnahmen zur nachhaltigen Absicherung gegen Cyberbedrohungen zu identifizieren. In der gegenwärtigen Bedrohungslage dürfen diese Argumente jedoch nicht mehr zählen. Unternehmen müssen handeln.
Über 90 Prozent von Cyberangriffen betroffen
Kein Bereich ist so dynamisch, so schnelllebig, aber auch so unberechenbar wie der “Cyberspace”. Laut Bitkom sind 84 Prozent der befragten Unternehmen schon einmal Opfer eines Angriffs geworden, weitere neun Prozent gehen davon aus, von IT-Sicherheitsvorfällen betroffen zu sein. Um dem entgegenzuwirken, bedarf es einer ganzheitlichen Cybersicherheitsstrategie, bestehend aus den vier Dimensionen der Cybersicherheit: Der technischen Absicherung, der Sensibilisierung der Mitarbeitenden, ein funktionierendes Notfallmanagement sowie einer Cyberversicherung, die das Restrisiko abdeckt. Auch die Politik trägt ihren Teil dazu bei, das Risiko von Cyberangriffen und deren Folgen einzudämmen.
NIS-2: Politik macht Cybersicherheit zur Priorität
Bereits im Jahr 2016 wurde eine Richtlinie zur Netz- und Informationssicherheit – kurz NIS – verabschiedet. Die Richtlinie gilt für die gesamte EU und soll sicherstellen, dass alle Mitgliedsstaaten in die Abwehr von Cyberangriffen investieren. Erste Erfolge bei der Stärkung der Cyberresilienz zeigten sich vor allem in der Zusammenarbeit und der Bereitschaft der Mitgliedstaaten, Cyberbedrohungen als europäisches Kollektiv anzugehen.
Allerdings zeigten sich noch Unterschiede in der Umsetzung und Durchführung zwischen den Mitgliedstaaten. Die nun erweiterte NIS-2-Richtlinie soll diese Lücken schließen und zur Sicherung und Stabilisierung von Wirtschaft und Gesellschaft beitragen. Dabei definiert die NIS-2-Richtlinie strengere Mindestanforderungen und einen umfassenden Maßnahmenkatalog, der durch die Mitgliedstaaten umgesetzt werden muss.
Neben den “kritischen” oder “sehr wichtigen” Sektoren, die bereits von der NIS-Richtlinie betroffen waren, werden nun auch “wichtige” Branchen in die Verantwortung genommen. Neu ist auch, dass kleine und mittlere Unternehmen (ab 50 Mitarbeitenden und einer Jahresbilanz von zehn Millionen Euro), die zu den oben genannten Branchen gehören, den Anforderungen der NIS-2-Richtlinie ebenfalls nachkommen müssen.
Cybersicherheit wird mehr denn je zur Chefsache
Die Bundesregierung hat nun bis Herbst 2024 Zeit, die Anforderungen der NIS-2-Richtlinie in nationales Recht zu überführen. Die betroffenen Unternehmen müssen sie anschließend implementieren. Amtliche Stellen werden 2027 erstmals prüfen, ob die Maßnahmen umgesetzt worden sind. Regelmäßige Untersuchungen und Kontrollen stellen sicher, dass die Unternehmen ihren Verpflichtungen nachkommen. Wie das Gesetz aussehen könnte, zeigt eine erste Version des Entwurfs. Interessant ist, dass den verantwortlichen Instanzen teilweise strenge Mittel eingeräumt werden, um die Missachtung der Mindestanforderungen zu sanktionieren.
Vor allem Leitungsorgane wie Geschäftsführer werden hierbei in die Pflicht genommen. So wäre es beispielsweise möglich, dass Geschäftsführer in besonders wichtigen Bereichen bei Nichteinhaltung von ihren Leitungspflichten entbunden werden. Darüber hinaus können für kritische oder besonders wichtige Einrichtungen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes laut dem ersten Entwurf verhängt werden.
Für wichtige Einrichtungen fallen die geplanten Bußgelder niedriger aus (bis zu 7 Millionen oder 1,4 Prozent des Jahresumsatzes. Welche Vorgaben die Gesetzgebung tatsächlich umsetzt, bleibt abzuwarten. Es ist jedoch absehbar, dass mit der NIS-2-Richtlinie die Politik das Thema Cybersicherheit mit hoher Priorität weiterentwickelt.
Der Autor Gerrit Knichwitz ist Geschäftsführer des Cybersicherheits- und IT-Dienstleister Perseus Technologies GmbH.