NIS2-Entscheidungen und die schleppende Umsetzung: Ein kritischer Blick zurück und nach vorne.
Die NIS2-Richtlinie, die darauf abzielt, ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union sicherzustellen, steht vor einer ernsten Herausforderung: der schleppenden Umsetzung in vielen Mitgliedstaaten, auch in Deutschland.
Trotz der offensichtlichen Notwendigkeit, unsere digitalen Infrastrukturen zu schützen, scheitert die Umsetzung und es dauert alles zu lange. Ob es an mangelndem Engagement, Behörderneitelkeiten, Perfektionismus und zu wenig Pragmatismus oder unzureichendem Verständnis liegt, sei dahingestellt. Fakt ist: Deutschland hat den vorgegebenen Termin für Oktober 2024 verpasst! Ein Vertragsverletzungsverfahren ist daher bereits eingeleitet.
Um diese Problematik zu beleuchten, möchten wir das Modell von Simon Sinek zum Thema „Führungserfolg“ heranziehen, das ein "Warum" in den Mittelpunkt stellt und uns hilft, die Gründe für das Scheitern der NIS2-Umsetzung zu verstehen.
Nun ist das Organisationsmodell von Staaten sowie der Gesetzgebungsprozess komplex und nicht unbedingt mit Unternehmen zu vergleichen, aus akademischer Sicht ergeben sich bestimmt noch andere Ansatzpunkte. Aber als „Gedankenspiel“ bot sich das angesichts der Situation des mangelnden Erfolgs der Veränderung durchaus an.
Das "Warum": Die Grundlage für Veränderung
Simon Sinek betont in seinem Modell, dass erfolgreiche Veränderungen mit einem klaren Verständnis des "Warum" beginnen müssen. Im Kontext der NIS2-Richtlinie sollte das "Warum" klar sein: Die zunehmende Bedrohung durch Cyberangriffe erfordert sofortige Maßnahmen. Eine Umfrage von Veeam zeigt alarmierende Statistiken: 90 Prozent der Unternehmen berichteten von Sicherheitsvorfällen, die durch die vorgeschriebenen Maßnahmen der NIS2 vielleicht hätten verhindert werden können. Und die Zahlen von Bitkom, dem BSI und anderen Quellen bis hin zum Allianz-Report unterstützen die Kritikalität. Dennoch wird das Thema Cybersicherheit oft als nachrangig betrachtet, da Unternehmen oder Behörden andere Prioritäten setzen. Hier zeigt sich ein grundlegendes Missverständnis: Ohne eine solide Cybersicherheitsstrategie wird die digitale Transformation nicht nachhaltig sein! Sie ist nicht Nebensache, sondern Bedingung.
Das "Was": Die konkreten Maßnahmen
Das "Was" bezieht sich auf die spezifischen Maßnahmen, die zur Umsetzung der NIS2-Richtlinie erforderlich sind. Dazu gehören unter anderem:
Risikomanagement: Unternehmen müssen ihre Risiken systematisch identifizieren und bewerten.
Meldepflichten: Es müssen klare Prozesse für die Meldung von Sicherheitsvorfällen etabliert werden.
Schulung und Sensibilisierung: Die Belegschaft und die Führung müssen regelmäßig in Bezug auf Cybersicherheit geschult werden.
Trotz dieser klaren Anforderungen scheitert die Umsetzung häufig an organisatorischen Hürden, so sehen 23 Prozent der Befragten mangelndes Verständnis auf Führungsebene als Hindernis. Dies führt zu unzureichenden Budgets und Investitionen in notwendige Sicherheitsmaßnahmen.
Das "Wie": Der Weg zur Umsetzung
Das "Wie" beschreibt den Prozess der Umsetzung dieser Maßnahmen. Hier wird deutlich, dass viele Unternehmen nicht nur mit technischen Herausforderungen konfrontiert sind, sondern auch mit einer kulturellen Barriere. Die Einführung eines Informationssicherheitsmanagementsystems (ISMS) erfordert nicht nur technisches Know-how, sondern auch eine Veränderung der Unternehmenskultur. Führungskräfte müssen aktiv in den Prozess eingebunden werden und Verantwortung übernehmen.
Ein weiterer kritischer Punkt ist die mangelnde Dringlichkeit. Viele Unternehmen glauben, dass die Konsequenzen bei „Nichteinführung“ von Sicherheitsmaßnahmen gem. NIS2 nicht so dramatisch sind. Denn nicht jeden Tag passiert jeder Firma ein Vorfall, was zu einer weitverbreiteten Apathie gegenüber der NIS2-Richtlinie führt. Aber die Dunkelziffer bei Vorfällen ist hoch. Und Bußgelder gibt es ja noch nicht. Diese Einstellung muss sich ändern, das „Warum“ sollte erkannt werden, um nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch einen echten Mehrwert für das Unternehmen und seine Kunden zu schaffen.
Kritik zur NIS2 an dem „Was“ und „Wie“
Insgesamt verfolgt die NIS2 einen risikobasierten „Allgefahren-Ansatz“. Doch stehen in der EU-Richtlinie – vor allem Art. 20, 21 und 23 – nur relativ kurz und stichwortartig 12 Themen, die anzugehen sind (unter anderem Konzepte in Bezug auf die Risikoanalyse), es fehlt an konkreteren Angaben. Diese sind nicht Bestandteil des Textes!
Nur in den mitgelierten Erwägungsgründen – die üblicherweise nur der Auslegung und Erklärung für das Ziel und die Umsetzung dienen – wird in der Nummer 79 der Erwägungsgründe auf die ISO 27000-Reihe als möglichen Bezugsrahmen für die Umsetzung hingewiesen.
Es hätte dem Vorhaben geholfen aus dem „möglich“ ein „verbindlich“ zu machen, am besten zusammen mit den Worten „Zertifiziert nach ISO 27001“, dann wäre das viel klarer gewesen, betrifft sie doch große Teile der deutschen Wirtschaft und Infrastrukturen. So besteht Spielraum, den jeder ggf. anders nutzen kann und es ergeben sich höchst unterschiedliche Niveaus an Sicherheit. Wie sich dazu weitere Auslegungsregeln entwickeln im Zuge des NIS2UmsuCG oder von der EU, wird abzuwarten bleiben. Hier gibt es von der Einreichung von Richtlinien über eine Eigenerklärung bis hin zur Zertifiizerung Optionen, aber keine Vorgabe. Doch wie will ich das dann kontrollieren?
Die Rolle staatlicher Akteure
In dieser Diskussion dürfen wir deren Rolle nicht außer Acht lassen. Die zeitliche Verschleppung ist fahrlässig, wurde die Richtlinie doch am 27.12.2022 (!) im EU-Amtsblatt veröffentlicht, mit Frist zur Umsetzung bis 17.10.2024! Die Bundesregierung hat erst sehr spät und nach langen Beratungen mit dem NIS2-Umsetzungsgesetz einen rechtlichen Rahmen geschaffen, um die Richtlinie in deutsches Recht zu überführen. Dieses Gesetz wird voraussichtlich aber erst im Jahr 2025 in Kraft treten und auch das ist nicht sicher.
Ja, die letzten 3 Jahre seit 2022 waren politisch anspruchsvoll und NIS2 nur eines der wichtigen Themen. Die Umsetzung aber so sträflich zu vernachlässigen, müssen sich die Politik und die involvierten Behörden ankreiden lassen.
Diese Verzögerungen führen dazu, dass Unternehmen und die Öffentliche Hand noch nicht verpflichtet sind, die NIS2-Vorgaben zu befolgen, was eine Laissez-faire-Haltung begünstigt und das Bewusstsein für die Dringlichkeit der Maßnahmen verringert.
Glaubwürdigkeitsprobleme durch Ausnahmeregelungen für staatliche Akteure
Ein kritischer Punkt ist auch das Glaubwürdigkeitsproblem im Zusammenhang mit diskutierten Ausnahmeregelungen für staatliche Verwaltungen. Wenn staatliche Stellen nicht denselben strengen Anforderungen unterliegen wie private Unternehmen, sendet dies ein falsches Signal an die Wirtschaft und mindert den Anreiz zur Einhaltung der NIS2-Vorgaben, es untergräbt das Vertrauen in die gesamte Initiative!
Der Hinweis auf mangelndes Fachpersonal und Kosten bei staatlichen Stellen und Kommunen als Hindernis und Ausnahmegrund ist nicht angebracht. Diese Stellen erbringen wichtige Aufgaben und müssen in Betrieb bleiben. Und hat jemand die betroffenen Unternehmen vorher dazu befragt, ob sie Budget und Personal haben? Und interessiert das die Kriminellen?
Mangelnde Kommunikation und Unterstützung durch staatliche Stellen
Die Bundesregierung hat es zudem versäumt, eine klare und proaktive Kommunikation über die NIS2-Richtlinie und deren positive Auswirkungen auf Unternehmen zu etablieren. Viele Unternehmen sind sich gar nicht bewusst, dass sie von den neuen Regelungen betroffen sind: Schätzungen zufolge wissen bis zu 80 Prozent der betroffenen Unternehmen nicht einmal, dass sie handeln müssen. So müssen deutsche Unternehmen oft selbst herausfinden, ob sie von NIS2 betroffen sind und Grauzonen werden nicht ausbleiben.
Unzureichende Ressourcen und Fachkräftemangel?
Ein weiteres ernstes Problem scheint der Fachkräftemangel im Bereich Cybersicherheit, auch bei staatlichen Stellen. Die Umsetzung der NIS2-Richtlinie erfordert qualifizierte Mitarbeiter, die über das notwendige Wissen verfügen, um Sicherheitsmaßnahmen zu implementieren und zu überwachen.
Aber ist das wirklich zutreffend? Man kann die These wagen, dass man immer noch nicht das „Warum“ verstanden hat und daher das Argument nur anführt, um nicht zu investieren.
In Gesprächen mit IT-Unternehmen und Branchenkennern ist zu sehen: Kapazitäten gibt es. Da sind jetzt nicht alle „unter Wasser“ und Goldgräberstimmung bei den Preisen ist auch nicht anzutreffen. Freilich kann es an tieferer Expertise für spezifische Fachthemen mangeln, aber es gibt ja auch intern Fachleute, auf deren Wissen man zugreifen kann oder die man qualifizieren kann.
Die internen Kollegen werden leider oft vergessen, die stehen aber nicht selten mit bescheidenen Mitteln mitten im Geschehen. Ob dann jedes Unternehmen die richtigen Personen mit Skills für die richtigen (sprich niedrigen) Gehälter einstellen kann oder will, ist eine anders Sache. Auch mit Zulagensystemen und angemessener Einstufung ließe sich – Willen vorausgesetzt – mehr Attraktivität erzeugen, auch im öffentlichen Bereich. Alles eine Frage des Willens und des Budgets, man denke an das „Warum“.
Fazit
Die schleppende Umsetzung der NIS2-Richtlinie in Deutschland ist ein Problem, das sowohl auf staatliche als auch auf unternehmerische Faktoren zurückzuführen ist.
Es ist an der Zeit, das Bewusstsein für die Dringlichkeit dieser Maßnahmen zu schärfen, also dem „Warum“! Und das „Was“ wäre gem. Erwägungsgrund 79 bekannt (ISO 27000er Reihe), es dreht sich eigentlich nur um die Frage des „Wie“.
Schon eine „leichtgewichtige“ Umsetzung der Anforderung wäre mit vertretbarem Aufwand möglich und hilfreich, man kann sich ja später zum vollinhaltlich umgesetzten ISMS gem. ISO 27001 mit Zertifikat weiterentwickeln.
In jedem Falle wäre eine Software zur Unterstützung eines integrierten Managementsystems (idealerweise gem. ISO 27001) hilfreich, z. B. mit „EnterpriseOS“ (www.enterpriseos.de). Damit lassen sich nicht alle Probleme lösen, man muss schon etwas mehr tun. Aber das System senkt enorm den Zeitaufwand, Kosten und schont die Nerven, es ist auch für kleine Firmen anpassbar.
Es wäre ein guter Anfang, um sich mit dem Tool strukturiert an die Arbeit zu machen und an einer sicheren digitalen Zukunft zu arbeiten!
Denn es ist an der Zeit, das "Warum" zu erkennen und ernst zu nehmen:
Cybersicherheit ist kein optionales Thema mehr; sie ist eine Grundvoraussetzung für den Erfolg in einer zunehmend digitalen Welt.
Comments