Sicherheit im digitalen Zeitalter: Die Rolle von NIS2 für die Schweizer Wirtschaft
Die EU macht Ernst: Bald ist Schluss mit laxen IT-Security-Vorkehrungen und Larifari-Schutz. Die seit Mitte Januar 2023 in Kraft getretene NIS2-Richtlinie («Network and Information Security 2»), die zur Sicherheit von Netz- und Informationssystemen überarbeitet und ausgeweitet wurde, soll es richten und IT-Infrastrukturen in neue Resilienz-Bahnen lenken.
Cybervorfälle: Alarmstufe Rot für Unternehmen & Co.
Vor dem Hintergrund der fortschreitenden Digitalisierung und der sich verschärfenden Bedrohungslage wurde durch die Europäische Kommission der massive Bedarf erkannt, die Mindeststandards für technische und organisatorische Massnahmen zum Schutz vor Cyberbedrohungen anzupassen. Ebenso soll die Anzahl der von der Regulierung erfassten Unternehmen deutlich ausgeweitet werden.
Ausserdem werden eine Harmonisierung und Verbesserung der Zusammenarbeit über nationalstaatliche Grenzen hinweg angestrebt. Neben den betroffenen Unternehmen, die die Compliance-Anforderungen der NIS2-Richtlinie erfüllen müssen, ist also auch der Staat gefordert, die entsprechenden institutionellen Ressourcen und Strukturen zu schaffen und NIS2-relevante Zuständigkeiten klar zu regeln.
Im Dezember 2022 veröffentlicht und seit Januar 2023 in Kraft sind dies die Kernziele der neuen EU-NIS2-Richtlinie. Bis zum 17. Oktober 2024 muss die EU-NIS2-Richtlinie in allen 27 Mitgliedsländern der EU in nationales Recht umgesetzt sein. Schätzungsweise beläuft sich die Zahl der neuen, rechenschaftspflichtigen Adressaten auf 100 000 Einrichtungen.
Was kommt mit NIS2 auf Staat und Wirtschaft zu?
Um dem erhöhten Bedarf nach Cybersicherheit in einzelnen, von der KRITIS-Regulierung bislang nicht betroffenen Unternehmen gerecht werden zu können, wurde ein neuer Ansatz gewählt. Nicht mehr Schwellenwerte entscheiden darüber, ob ein Unternehmen oder eine Organisation in einem der regulierten Sektoren betroffen ist, sondern die Unternehmensgrösse oder der bilanzierte Umsatz beziehungsweise Ertrag. Die Mindestanforderungen und Standards der nationalen NIS2-Umsetzung gelten auch für Unternehmen aus bestimmte Lieferketten: Experten sprechen von einer indirekten Betroffenheit für Lieferanten und Dienstleister.
NIS 2 gilt also nicht mehr ausschliesslich für klassische Betreiber kritischer Infrastrukturen, sondern wird zu einer allgemeinen Compliance-Anforderung für die europäische Wirtschaft in nunmehr 18 regulierten Sektoren. Die Richtlinie definiert 11 Sektoren der Wirtschaft mit besonders hohem Gefährdungspotential («Essential Entities») und weitere sieben in den «Important Entities».
Innerhalb der regulierten Sektoren werden Unternehmen anhand ihrer Unternehmensgrösse oder ihres Jahresumsatzes von den regulatorischen Massnahmen betroffen sein. Hier unterscheidet NIS 2 zwischen mittleren Unternehmen ab einer Grösse von 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz und grossen Unternehmen ab einer Beschäftigtenzahl von 250 oder 50 Millionen Euro Jahresumsatz.
Stand der Technik spielt auch hier grosse Rolle
Hier spielte ein Begriff eine tragende Rolle, der sich auch in der NIS2-Richtlinie wiederfindet: Stand der Technik. Die NIS-2-Richtlinie regelt in Art. 21 ausdrücklich, dass die betroffenen Unternehmen und Organisationen unter Berücksichtigung des Stands der Technik geeignete und angemessene technische, organisatorische sowie operative Massnahmen vornehmen müssen, um Cybersicherheitsrisiken zu beherrschen und Folgen von Sicherheitsvorfällen zu verhindern. Konkret sieht NIS2 eine Vielzahl von Mindestvorkehrungen vor.
Umsetzung von NIS2 bietet Schweizer Unternehmen neue Chancen
Die technische Umsetzung der NIS2-Richtlinie, die Registrierungs- und Meldepflichten und die Einhaltung der weiteren grundsätzlichen Rahmenbedingungen werden viel Geld verschlingen. Allein für Deutschland gehen Expertem von einem jährliche Erfüllungsaufwand von mehr als 1,65 Milliarden Euro aus. Was für die betroffenen Organisationen Kosten sind, könnte man auf der anderen Seite auch als Chance sehen: Hier entsteht ein zusätzliches Marktpotenzial für Security-Hersteller, IT-Dienstleistungsunternehmen und die Digitalwirtschaft generell. Viele Unternehmen und Institutionen werden sicherheitstechnisch deutlich aufrüsten müssen.
Doch nicht jeder hat die notwendigen finanziellen und personellen Ressourcen parat, um diese Herkulesaufgabe aus eigener Kraft stemmen zu können. Ihnen bleibt fast nichts anderes übrig, als auf externe Unterstützung zurückzugreifen. Es entsteht deshalb ein Markt für die Beratungsbranche, für IT-Sicherheitsbeauftragte, für ISMS-Spezialisten und -Auditoren, für Systemintegratoren und nicht zuletzt für Dienstleister, die mit «As-a-Service-Angeboten» ihren Kunden aus der Patsche helfen.
Dies ist definitiv auch und gerade für Schweizer IT-Dienstleister ein interessantes Geschäftsfeld. Die Grundidee der NIS2-Richtlinie, erhöhte Cyberresilienz, endet nicht an den EU-Grenzen. Deshalb sollten Schweizer Organisationen ihr eigenes Schutzniveau hinterfragen und die Vorschläge zur digitalen Widerstandskraft gründlich durchdenken. So mancher Firmenlenker wird analysieren, dass die eingesetzten Security-Massnahmen nicht mehr zur extremen, weltweiten Gefahrenlage passen. Der Schweizer IT-Markt kann hier beratend und unterstützend einwirken.
NIS2 betrifft auch Schweizer Unternehmen
Niederlassungen von Schweizer Unternehmen innerhalb der EU, die aufgrund ihrer Rechtsform eigene Unternehmen sind, könnten selbst unter die NIS-Regulierung fallen. Dies ist der Fall, wenn sie die entsprechenden Kriterien bezüglich der Sektorzugehörigkeit und der Schwellenwerte zur Unternehmensgrösse und zum Jahresumsatz erfüllen. Dann muss sich dieses in der EU befindliche Tochterunternehmen zwingend bis spätestens zum 18.10.2024 bei der National Authority in dem jeweiligen EU-Mitgliedsland registrieren. Die definierten Massnahmen zur Verbesserung der Cyberresilienz müssen dann ebenso beachtet und umgesetzt werden wie die vorgeschriebenen Melde- und Informationspflichten. Kurzum: Die NIS2 ist entsprechend der nationalen Umsetzung in dem jeweiligen Mitgliedsstaat der EU anzuwenden. Dies gilt ebenso für IT-Dienstleister, die explizit den «Essential Entities» der Richtlinie zugeordnet sind.
Spannend dürfte die «indirekte NIS2-Betroffenheit» für viele Schweizer Unternehmen werden. Wer also als Schweizer IT-Dienstleister Kunden innerhalb der EU hat, die unter die NIS2-Regulierung fallen, muss ebenfalls die Mindeststandards in Sachen IT-Sicherheit gewährleisten und die eigene Compliance gegebenenfalls in regelmässigen Audits nachweisen.
Auch wenn ein Schweizer IT-Dienstleister eidgenössische Unternehmen mit eigenständigen Tochterunternehmen innerhalb der EU betreut, die NIS2 reguliert sind, ist von einer «indirekten NIS2-Betroffenheit» über die Verbindung der Lieferkette auszugehen.
Neues Marktpotenzial winkt dem Channel
Den IT-Dienstleistern, die in der Regel als Trusted Advisor für ihre Kunden fungieren, kommt hier eine besondere Rolle und Verpflichtung zu. Es gilt, Kunden eindringlich auf Defizite hinzuweisen und gemeinsam mit ihnen individuelle und angemessene Lösungen zu entwickeln. Hierbei wird es künftig stärker als in der Vergangenheit nötig sein, über arbeitsteilige Konzepte nachzudenken. Damit ist gemeint, dass ein Unternehmen mit seinen eigenen IT-Ressourcen nur Teile der IT-Sicherheitslösung betreut und darüber hinaus auf kompetente Dienstleister zurückgegriffen wird. Dies können beispielsweise Services wie Endpoint Detection and Response (EDR), Threat Intelligence oder andere professional IT-Security Services sein, die sich hervorragend in ein sinnvolles Gesamtlösungskonzept integrieren lassen. Für den Channel lohnt es sich, darüber nachzudenken, mit welchen potenziellen Partnern und Allianzen man sich aufstellen möchte, um das entstehende Marktpotenzial erschliessen und den Kunden angepasste Lösungen und ein angemessenes Schutzniveau bieten zu können.