Medienberichten zufolge hat die Anzahl und Schwere von Ransomware-Angriffen – nicht zuletzt aufgrund der MOVEit-Sicherheitslücke – im Jahr 2023 ein neues Rekordniveau erreicht: Nie zuvor waren weltweit so viele Privatpersonen, Behörden und Unternehmen von erfolgreichen Ransomware-Attacken betroffen wie in diesem Jahr.
Ebenfalls auf Rekordniveau bewegt sich die Regulierungsdichte, mit der sich Unternehmen im Bereich der Cybersicherheit gegenwärtig konfrontiert sehen. Während sich der Cyber Resilience Act noch im Gesetzgebungsverfahren befindet (Rat und Parlament haben hier Ende November eine vorläufige Einigung erzielt), wurden in Gestalt der NIS2-Richtlinie – flankiert von der CER-Richtlinie – und dem Digital Operational Resilience Act (DORA) Anfang 2023 umfangreiche regulatorische Vorgaben in Kraft gesetzt, um Unternehmen in Schlüsselsektoren der EU zur Gewährleistung eines hohen Cybersicherheitsniveaus zu verpflichten.
Viel Zeit zur Umsetzung der neuen Vorgaben bleibt nicht: Die Anforderungen der NIS2- und CER-Richtlinien sind von den Mitgliedstaaten ab dem 18. Oktober 2024 anzuwenden, die Vorgaben des DORA gelten ab dem 17. Januar 2025. Mithin gilt es, das Jahr 2024 für die Implementierung der neuen Anforderungen zu nutzen. Der Aufwand und die Kosten hierfür dürften erheblich sein: Schätzungen zufolge soll allein die Umsetzung der Anforderungen der NIS2-Richtlinie in Deutschland unternehmerische Mehrkosten in Höhe von EUR 7,3 Mrd. bedingen.
Etablierung eines unionsweiten Mindestniveaus an Cybersicherheit durch die NIS2-Richtlinie
Die gesetzgeberische Umsetzung der NIS2-Richtlinie in Deutschland läuft: Zuletzt hat das BMI im September 2023 ein Diskussionspapier veröffentlicht, das eine Änderung des BSI-Gesetzes (BSIG) vorsieht und auf die Umschreibung des Anwendungsbereichs und die geplanten unternehmerischen Pflichten zugeschnitten ist. Kurz zuvor, im Juli 2023, wurde ein Referentenentwurf für das die CER-Richtlinie umsetzende KRITIS-Dachgesetz veröffentlicht.
Von den neuen Vorgaben werden künftig neben der öffentlichen Verwaltung und digitalen Diensten insbesondere Post- und Kurierdienste, die Abfallbewirtschaftung, die Chemikalien- und Lebensmittelproduktion (einschließlich der Verarbeitung und des Vertriebs) und die Herstellung von medizinischen und elektronischen Produkten, Maschinen und Fahrzeugen erfasst sein. An die Stelle der bisherigen anlagenspezifischen Schwellenwerte der BSI-KritisV werden die KMU-Schwellenwerte für kleine und mittlere Unternehmen treten, d.h. im Falle der Beschäftigung von mindestens 50 Mitarbeitenden oder eines Jahresumsatzes und einer Jahresbilanzsumme von jeweils über EUR 10 Mio. ist grundsätzlich von einer Anwendbarkeit der neuen Vorgaben auszugehen. Bestimmte Akteure werden darüber hinaus auch ohne Überschreitung dieser Schwellenwerte in den Anwendungsbereich des neuen BSIG fallen.
Neben einer grundsätzlichen Registrierungspflicht und vorfallabhängigen Meldepflichten (mit einer Erstmeldefrist von 24 Stunden) müssen erfasste Unternehmen künftig ein umfassendes, auch die Lieferkette abdeckendes Risikomanagement betreiben, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von IT-Systemen, Komponenten und Prozessen zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten. Die Verantwortung für die Ausgestaltung und Umsetzung der erforderlichen Maßnahmen ist zwingend auf Leitungsebene zu verorten, einschließlich einer Haftung des Leitungsorgans gegenüber dem Unternehmen für den Fall einer unzureichenden Implementierung.
Die Europäische Kommission ist verpflichtet, die Anforderungen für bestimmte Bereiche in Gestalt von Durchführungsrechtsakten bis zum 17. Oktober 2024 zu konkretisieren. Im Übrigen gilt es im Laufe des kommenden Jahres die aktuellen nationalen Umsetzungsbestrebungen in den Blick zu nehmen, zumal diese überschießende nationale Anwendungsbereiche und Anforderungen enthalten können (wie auch der Entwurf des deutschen Umsetzungsgesetzes).
Harmonisierung der Cybersicherheit und Betriebsstabilität im Finanzsektor durch den DORA
Der unmittelbar in den Mitgliedstaaten anwendbare DORA weist inhaltlich ähnliche Spezifika auf. Sein weiter Anwendungsbereich erfasst neben Finanzunternehmen aus insgesamt 20 Betätigungsfeldern (einschließlich der betrieblichen Altersvorsorge) auch Unternehmen, die den Finanzunternehmen digitale Dienste und Datendienste einschließlich Hardwaredienstleistungen zur Verfügung stellen (sog. IKT-Drittdienstleister).
Zentraler Bestandteil des DORA sind sehr dezidierte und feingliedrige Anforderungen an das IKT-Risikomanagement. Die Verantwortung für dessen Umsetzung trägt wiederum das Leitungsorgan des Finanzunternehmens. Schwerwiegende IKT-bezogene Vorfälle sind der BaFin zu melden. Schwachstellen sollen durch das Testen der digitalen operationalen Resilienz erkannt werden. Darüber hinaus enthält der DORA zahlreiche Regelungen, um Risiken, die für Finanzunternehmen im Zusammenhang mit der Nutzung von IKT-Dienstleistungen entstehen können, zu mitigieren.
Bis Juli 2024 werden die Regelungen durch die Europäischen Aufsichtsbehörden (European Supervisory Authorities (ESA)) noch konkretisiert. Zudem gilt es die nationalen Umsetzungsbestrebungen zu der flankierenden Richtlinie 2022/2556 im Auge zu behalten. Das BMF hat hierzu zuletzt am 23. Oktober 2023 einen Referentenentwurf veröffentlicht.
CMS Blog-Serie DORA
Die Blog-Serie befasst sich mit den sich aus DORA ergebenden Pflichten...
Social-Media-Cookies sammeln Informationen darüber, wie Sie Inhalte von unserer Website über die sozialen Medien teilen, oder liefern Analysedaten zu Ihrem Nutzungsverhalten, wenn Sie zwischen Social-Media-Plattformen oder unseren Social-Media-Kampagnen und unseren eigenen Websites navigieren. Wir setzen diese Cookies ein, um die Mischung der Kommunikationswege zu optimieren, über die wir Ihnen unsere Inhalte zukommen lassen. Genauere Informationen zu den eingesetzten Tools finden Sie in unserer Datenschutzerklärung.