NIS-2 weiterhin in den Startlöchern
Marc Nimmerrichter, 26.09.2024
Ein schadhaftes Softwareupdate der Antimalware Software Falcon des Software-Herstellers Crowdstrike sorgte im Juli 2024 für weltweites Chaos: Dabei wurden wir Zeuge von einem der folgenschwersten IT-Ausfälle der Geschichte, der uns die Fragilität unserer digitalen Infrastruktur vor Augen führte. Ein sorgfältiger Umgang mit der Entwicklung und dem Test des Software-Updates hätte das Chaos verhindert.
Bei zahlreichen Krankenhäusern, Banken, TV-Stationen, Flughäfen und Energieversorgern – auch in Österreich – waren die Bildschirme plötzlich blau. Ein „Blue Screen of Death“ war das Einzige, was auf den Monitoren von rund 8,5 Millionen betroffenen Windows Endgeräten noch zu sehen war. Da Crowdstrike Unternehmen beliefert, die mit hohen Sicherheitsanforderungen konfrontiert sind, war die kritische Infrastruktur besonders stark betroffen. Die Folgen waren verheerend: Krankenhäuser mussten Operationen verschieben, mehr als 5.000 Flüge wurden gestrichen.
Dieser Vorfall ist nur einer von vielen denkbaren Krisenszenarien bei IT-Ausfällen. Verantwortliche in Unternehmen, Behörden und anderen Institutionen stellen sich die Frage, wie sie ihre Verwundbarkeit durch solche Vorfälle in Zukunft verringern können. Auch die Gesetzgeber haben sich in den letzten Jahren intensiv damit befasst und Legislative dazu auf den Weg gebracht.
Was kann präventiv getan werden?
Allgemein können Risiken auf zwei unterschiedliche Arten minimiert werden:
- Einerseits kann die Eintrittswahrscheinlichkeit eines negativen Ereignisses reduziert werden. Dazu zählen beispielsweise eine bessere Qualitätssicherung, starke präventive Maßnahmen für Cyber-Angriffe, eine bessere Eignungsprüfung der Produkte und Lieferanten in der Lieferkette und eine gut ausgeprägte Security-Awareness des Personals.
- Andererseits sollten die negativen Auswirkungen eines eingetretenen Ereignisses auf den Betrieb der Organisation proaktiv abgeschwächt werden, da die Wahrscheinlichkeit eines derartigen Vorfalls nie auf 0% gesenkt werden kann. Die zwei wichtigsten Maßnahmen dafür sind das Betriebskontinuitätsmanagement (Business Continuity Management) und die Wiederherstellung nach einem Notfall (Disaster Recovery). Beide Maßnahmen werden häufig auch als BCM/DR bezeichnet. Beispielsweise geht es darum, Redundanzen aufzubauen, sodass bei Ausfällen alternative Systeme zur Verfügung stehen sowie Abläufe zu definieren, um eine Krise effektiv und strukturiert zu meistern.
Die oben beschriebenen Maßnahmen sind innerbetriebliche Vorsorgen. Um in Zukunft mehr Sorgfalt zu gewährleisten und die Resilienz zu verbessern, hat die Europäische Union in den vergangenen Monaten mehrere legislative Initiativen auf den Weg gebracht. Eine davon ist die Richtlinie „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“, öffentlich bekannt als die „NIS-2-Richtlinie“.
NIS-2 – für ein hohes Cybersicherheitsniveau
Die NIS-2-Richlinie, die in den EU-Mitgliedsstaaten bis 17. Oktober 2024 in nationales Recht umgesetzt werden muss, verpflichtet Unternehmen in besonders sensiblen Sektoren, Risikomanagement-Maßnahmen in Bezug auf die Cyber-Sicherheit zu setzen. Dazu zählen die Absicherung vor Angreifern sowie Maßnahmen zur Aufrechterhaltung des Betriebs und zur Wiederherstellung nach einem Notfall. Eine Einigung der Regierungsparteien steht in Österreich noch aus, wodurch die Einhaltung der Umsetzungsfrist durch Österreich fraglich ist. In Österreich wird die entsprechende EU-Richtlinie aller Wahrscheinlichkeit nach erst unter der nächsten Regierung beschlossen werden. Ein entsprechender Entwurf dazu (NISG 2024) liegt bereits vor und wurde 2023 in Begutachtung geschickt.
Bei Cyber-Vorfällen geht es nicht „nur“ um den Fortbestand des eigenen Unternehmens, sondern auch um die Auswirkungen durch Beeinträchtigungen des eigenen Unternehmens auf andere Organisationen der kritischen Infrastruktur. Wie man am aktuellen Crowdstrike-Vorfall beobachten kann, können Probleme einen Dominoeffekt auslösen.
Entsprechend dem bisherigen Entwurf des österreichischen NISG, müssen Unternehmen ihre Betroffenheit selbst prüfen und sich in diesem Falle innerhalb von 3 Monaten nach Inkrafttreten des Gesetzes bei der Behörde registrieren. Alle betroffenen Unternehmen müssen geeignete und verhältnismäßige technische, operative und organisatorische Risikomanagementmaßnahmen entsprechend Stand der Technik bzw. internationalen Normen treffen. Die Umsetzung dieser Maßnahmen ist i.d.R. der wesentliche Aufwand für die Unternehmen, je nach bisherigem Reifegrad des Cyber-Sicherheitsniveaus.
Besonders kritische Unternehmen werden als „wesentliche Einrichtungen“ bezeichnet, andere direkt betroffene Organisationen als „wichtige Einrichtungen“. Im Gesetz wird jedoch nur in wenigen Teilen zwischen diesen Typen unterschieden, zum Beispiel für die Audit-Pflicht sowie für die Maximalstrafrahmen. Wesentliche Einrichtungen müssen innerhalb eines 3 Jahres-Zyklus proaktiv einen Nachweis über die Wirksamkeit der gesetzten Maßnahmen erbringen. Dies hat durch eine NIS-2-Prüfung durch eine akkreditierte Stelle zu erfolgen. Wichtige Einrichtungen müssen dies nur auf Anordnung der Behörde tun. Die Strafen sind bis zu 10 Mio. Euro oder 2 % des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Mio. Euro oder 1,4 % des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen (je nachdem, welcher Betrag höher ist).
Da kritische Sektoren weit gefasst sind und direkt betroffene Unternehmen auch ihre Lieferanten in die Pflicht nehmen müssen, berührt die NIS-2-Richtlinie einen sehr großen Teil der europäischen Wirtschaft.
Was bedeutet NIS-2 für Aufsichtsräte?
In Österreich gelten als Leitungsorgane nicht nur die Geschäftsführung, sondern auch die Personen, die zur Überwachung der Geschäftsführung berufen sind – also auch Aufsichtsrät:innen. Diese müssen als Kontrollorgan die Einhaltung des NIS-2 Gesetzes sicherstellen. Dazu gehört die Registrierung der betroffenen Einrichtung bei der Cybersicherheitsbehörde und die Berichtspflichten im Falle von erheblichen Sicherheitsvorfällen. Aufsichtsräte müssen die Umsetzung der geforderten Risikomanagementmaßnahmen überwachen – dieser Teil beschäftigt betroffene Unternehmen meist am intensivsten, weil er die Umsetzung größerer Projekte bedeutet.
Um ihrer Kontrollpflicht nachkommen zu können, müssen Aufsichtsrät:innen an für sie spezifisch gestalteten Cybersicherheitsschulungen teilnehmen. Cybersicherheitsschulungen müssen auch den Mitarbeiter:innen angeboten werden.
Aufsichtsrät:innen haften auch schadenersatzrechtlich, wenn dem Unternehmen durch die Nichteinhaltung des Gesetzes ein schuldhaft verursachter Schaden entstanden ist. Mit diesem Thema sollte also nicht leichtfertig umgegangen werden.
Fazit
Obwohl das nationale Gesetz erst im Entwurf vorliegt, haben Unternehmen 2024 stark in Cyber-Sicherheit investiert, um der Richtlinie gerecht zu werden. Die EU-Vorgaben werden Effekt zeigen, sofern sie in Unternehmen und Konzernen auch sinnvoll umgesetzt werden. IT-Security muss nun auf die Straße gebracht werden und nicht nur aufs Papier. Last but not least: Sicherheit muss auch tatsächlich als Teil der Firmenkultur gelebt werden.
Marc Nimmerrichter ist Cyber Security Experte des Wiener IT-Sicherheitsunternehmens Certitude Consulting, wo er als Managing Partner Beratungsleistungen im Bereich IT-Security verantwortet. Als akkreditierter NIS-Prüfer beschäftigt er sich bereits seit einigen Jahren mit der Absicherung der kritischen Infrastruktur. In seiner beruflichen Laufbahn war er für namhafte nationale und internationale Softwareentwickler, IT-Dienstleister, Energieversorger und Finanzdienstleister sowie Bundesbehörden tätig.