Welche Hauptziele verfolgt die EU mit der Einführung der NIS2-Richtlinie im Hinblick auf die Cybersicherheit?

Wir sind überzeugt davon, dass es der Europäischen Union darum geht, für die Mitgliedsländer einen einheitlichen Standard für Unternehmen aus den kritischen Infrastrukturen aber auch deren Zulieferer aufzulegen.

Welche konkreten Maßnahmen werden ergriffen, um die Cybersicherheitsstandards in der gesamten EU zu erhöhen?

Unternehmen, die als essenziell oder wichtig für die Aufrechterhaltung der kritischen Infrastrukturen angesehen werden, müssen eine wirksame Informationssicherheit aufsetzen und dokumentieren. Also, Standards auf die eigene Organisation anwenden. Der zweite Schwerpunkt: Durch Aufbau und Betrieb von Security Operations Center (SOC) sollen die Unternehmen ihre Fähigkeit zur Erkennung von Bedrohungen, ihre Reaktionsfähigkeit und Prävention verbessern. Dafür müssen wirksame Organisationen aufgebaut und Cybersicherheitstechnologien und -prozesse integriert werden, damit eine zügige Response und Recovery ermöglicht wird.

Was sind die wichtigsten Herausforderungen bei der Umsetzung der NIS2-Richtlinie, sowohl auf nationaler als auch auf EU-Ebene?

Ich nehme an, dass wir bei der Umsetzung der Richtlinien einen Schnitt durch die europäischen Länder haben werden. Einige Länder wollen einen höheren Standard, andere wiederum eine weniger strenge Umsetzung. Wir benötigen jedoch bestmöglich einheitliche Umsetzung. Die Anforderungen der EU sind schon wegweisend gut, jedoch befürchte ich, eine diversifizierende Umsetzung in jeweils nationales Recht. Es ist damit zu rechnen, dass die Umsetzung innerhalb der kommunizierten Leitplanken zunächst noch sehr unterschiedlich sein wird.

Welche Auswirkungen wird die NIS2-Richtlinie auf Unternehmen und Organisationen in der EU haben?

Auch die beste Direktive kann nicht sicherstellen, dass ein Unternehmen zu 100 Prozent geschützt ist. Jedes Unternehmen kann jederzeit zum Opfer von Cyber-Attacken werden. Unternehmen laufen jedoch Gefahr, dass sie bei Verstößen, die auf die Nichteinhaltung der Regularien zurückzuführen sind, zu einer spürbaren Strafe veranlagt werden, zusätzlich zu den Folgekosten der Attacke. Unternehmen müssen das Risiko, das mit der Umsetzung einhergeht, sehr genau abschätzen. Sie tun gut daran, sich professionell unterstützen und beraten zu lassen.

Wie wird die EU die Umsetzung der NIS2-Richtlinie überwachen und sicherstellen, dass die Ziele erreicht werden?

Auf der Betrachtungsebene des Unternehmens ist es erforderlich, ein klares und unabhängiges Bild über den Ist-Zustand der Unternehmens-Security zu bekommen. Dann geht es darum, eine schlüssige Sicherheits- und Sourcing-Strategie zu entwickeln und umzusetzen. Die Beauftragung sowie die organisatorische Einbindung eines SOC als Service erfordert professionelles Wissen und Vorgehen.

Auf der nationalen Ebene besteht ein Risiko in eine ähnliche Situation hineinzugeraten, wie bei der DSGVO. Da haben viele Unternehmen nach bester Interpretation und Abstimmung ihre DSGVO-Umsetzung vorgenommen. Und viele Unternehmen müssen nun aus Schmerzen und saftigen Strafen lernen, weil sie aus der Sicht des jeweils zuständigen Landes-Datenschutzbeauftragten gegen wesentliche Bestimmung verstoßen haben.