Cyber-Sicherheit - (k)ein Buch mit sieben Siegeln?

_{Fußnoten:
NIS: Network and Information Security
CER: Critical Entities Resilience
CRA: Cyber Resilience Act
*) der jüngste Stand ist entscheidend; im Internet kursieren veraltete und tlw. stark abweichende Entwurfsfassungen}

Praktische Auswirkungen der aktuellen Entwicklungen

Wenngleich die bisherigen nationalen Entwürfe noch Änderungen im laufenden Abstimmungs- und Gesetzgebungsverfahren bis zur Verabschiedung erfahren werden, lassen sie weitgehende neue Unternehmens- und Behördenpflichten erwarten. Stichpunktartig und nicht abschließend werden aufgrund NIS2 bzw. NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) drei Handlungsfelder mit vielfältigen Einzelanforderungen zu erwarten sein:

• Risikomanagement
  • Etablierung bzw. Erweiterung/Anpassung des CyberSec-Risiko- und Krisenmanagement
    (als Teil sog. Business Continuity Managements, BCM)
  • IuK-Lieferketten sowie deren Wechselwirkungen und Abhängigkeiten mittels abgestimmter SLAs (Service Level Agreements mit Dienstleistern) und SBOM (Software Bill Of Materials; „IuK-Stücklisten“, ggf. in Ergänzung zu ITIL- bzw. COBIT-Standards, insbes. zur sog. Configuration Management Datenbase CMDB) feststellen
  • potentielles Schadens- als auch Sanktionspotential klären und durch geeignete Vorsorgemaßnahmen Schadens- bzw. Sanktionsrisiken wirksam reduzieren
    
    
• Registrierungs- und Meldepflichten
  • dreistufige Meldepflichten für Cybervorfälle, fristgerecht an die jeweils zuständige Behörde
  • Basisinformationen innerhalb 24 Stunden
  • Ergänzungsinformationen innerhalb 72 Stunden
  • Ausführlicher Bericht innerhalb eines Monats
    
    
• Nachweispflichten für getroffene Maßnahmen
  • Vorbereitung auf Sicherheitsprüfungen und vor-Ort-Kontrollen durch Prüfbehörden
  • Infolge Beweislastumkehr geeignete Prozess- und Dokumentations-Gestaltung zur CyberSec-Überwachungspflicht der Unternehmensleitung

Darüber hinaus ist infolge CER bzw. KRITIS-DachG-E zu erwarten:

• Schutz kritischer Infrastrukturen vor nicht Cyber-, sondern physischer Gefahren wie bspw. Sabotage, Feuer, Klimakatastrophen (bspw. Hochwasser); bisher Teil der Inf.Sicherheit

Schließlich kann CRA nach Verabschiedung zur Folge haben:

• Anpassung des IuK-Beschaffungsmanagements für CRA-konforme Produkte
• Wechselwirkung mit NIS2 bzgl. IuK-Lieferketten-Dokumentation (sog. SBOM, s.o.)

 

Regelungs-Details orientieren sich an Geeignetheit und Verhältnismäßigkeit des sog. „Stands der Technik", folgen also dem bereits aus der DSGVO bekannten risikobasierten Ansatz. Der Stand der Technik wird in aller Regel aus den jeweils gültigen Normen (insbes. DIN-, CEN-, ISO-Normen) und anerkannter Standards (bspw. BSI-Grundschutz) abgeleitet und durch deren Einhaltung nachgewiesen. Die bekanntermaßen hochvolatilen IuK-Innovationszyklen führen zur zwangsläufigen Folge, dass sich der Stand der Technik laufend ändert und daher auch die angemessenen und verhältnismäßigen CyberSec-Maßnahmen fortlaufend zu prüfen und anzupassen sind, damit der CyberSec-Digitalgesetzgebung genüge geleistet werden kann. Neu ist dabei nicht die Volatilität, sondern zukünftig konkrete Rechtsfolgen bei Nicht-Berücksichtigung derselben.

Deshalb ist neben erheblichem einmaligem Einführungsaufwand insbesondere mit laufendem Aufwand für die ständige Einhaltung zukünftiger CyberSec-Pflichten und damit Vermeidung von monetären als auch persönlichen Sanktionen zu rechnen. Die Entwurfsfassungen der nationalen Gesetzesentwürfe enthalten derzeit noch keine Angaben zum konkreten Erfüllungsaufwand, weil der gegenwärtig im Wege der Verbändeanhörung und nachfolgender Ressortabstimmung erhoben wird. Als Größenordnung kann bis dahin eine grobe BSI-Empfehlung dienen, welche von einem durchschnittlichen CyberSec-Anteil im Umfang von ca. 20 % des IuK-Gesamtaufwands ausgeht. Dem steht bei Verstößen in Anlehnung an die DSGVO die nationale Maximal-Sanktion von 10 Mio. Euro oder 2% des Jahresumsatzes bei Unternehmen gegenüber, bei Behörden individuelle aufsichtsrechtliche Maßnahmen.

Empfehlungen zum weiteren Vorgehen in vier Schritten

In Anbetracht absehbarer praktischer Auswirkungen der Cyber-Digitalgesetzgebung erscheint es angeraten, die dafür erforderlichen Vorbereitungen bereits jetzt zu starten. Dies gilt insbesondere vor dem Hintergrund, dass bei Verletzung zukünftiger Verpflichtungen ein umfassendes Sanktionswerk wirksam wird, dessen Konturen in den Entwürfen bereits heute gut erkennbar sind (vgl. bspw. § 60 NIS2UmsuCG-E). Speziell für Träger der gesetzlichen Sozialversicherung sowie deren Einrichtungen und Unternehmen sieht § 61 NIS2UmsuCG-E Besonderheiten vor. Als erster Maßnahmenplan können folgende Schritte sinnvoll sein:

1. Betroffenheit prüfen

Die einschlägige Fachpresse geht davon aus, dass sich die Anzahl der durch NIS2-betroffenen Unternehmen und Behörden in D vsl. vervielfacht, während sich die der KRITIS-Betroffenen vorbehaltlich endgültiger Veröffentlichung der erwarteten nationalen Verordnung zum KRITIS-DachG verdoppeln kann.

Breite und Tiefe der Betroffenheit muss individuell geprüft werden, was aufgrund der komplexen Zuordnungs-Vorgaben präzise Analysen erfordert. Die Betroffenheit wird innerhalb einer Matrix von vsl. 18 horizontalen Sektoren (Branchen-Schwellwerte).und vertikalen Zuordnungen festgestellt

- kritische Anlagen/Einrichtungen/Infrastrukturen

- besonders wichtige Anlagen/Einrichtungen

- wichtige Anlagen/Einrichtung und

- Anbieter digitaler Dienste

Da Behörden zukünftig und damit abweichend vom bisherigen status quo einen eigenen Sektor darstellen, wird die Betroffenheit der gUV-Träger von den vorgesehenen Schwellwerten, deren Auslegung bzw. Interpretation und daran anschließend der vertikalen Zuordnung abhängen. Über diese Matrix hinaus kann der Gesetz- und Verordnungsgeber kritische Anlagen explizit benennen.

Darüber hinaus weichen die pressewirksam veröffentlichten Betroffenheits-Schwellwerte für Unternehmen (ab 50/250 Beschäftigte bzw. ab 10/50 Mio Euro Jahresumsatz) von denen für Behörden ab, so dass die Betroffenheit der SV-Träger bzw. deren Unternehmen und Einrichtungen individuell zu prüfen sein wird.

2. Zeitabläufe prüfen

Nach aktuellem Kenntnisstand werden einige Nachweispflichten sowie Sanktionsregeln erst nach dem Inkrafttreten mit Zeitversatz wirksam werden. Daher kann der Realisierungs-Zeitplan mit entsprechenden Prioritäten versehen werden.

3. Delta-Analyse

In aller Regel verfügen Unternehmen bereits über Werkzeuge zum CyberSec-Management, wie bspw. ein Informations-Sicherheits-Management-System (ISMS) und daran orientierte Prozesse. Je nach Ausprägung und Aktualität bietet sich deren Spiegelung gegen die Betroffenheits-Analyse an. Dem schließen sich Risikoanalysen an, welche Geeignetheit und Verhältnismäßigkeit erforderlicher Maßnahmen nach dem sog. „Stand der Technik“ auf Basis der anerkannten Normen und Standards feststellen.

4. Umsetzungsplan

Aus Zeitablauf (vgl. 2.) und Delta-Analyse (vgl. 3.) können schließlich konkrete, unternehmensspezifische Maßnahmen abgeleitet und in einem Umsetzungsplan priorisiert werden. Im Fall der SIGUV-Gemeinschaft erfolgt das naheliegender Weise gemeinsam, wie bereits bislang bewährt in der sog. SECurity-Gruppe der SIGUV-AG.

Die vorliegenden sog. Referenten-Entwürfe zur nationalen Umsetzung der EU-CyberSec-Digitalgesetzgebung müssen den nationalen Gesetzgebungsprozess noch vollständig durchlaufen. Bis dahin werden offenkundige Unschärfen in Begrifflichkeiten als auch deren Definitionen wie insbes. zur essenziell entscheidenden vertikalen Unternehmenszuordnung der Harmonisierung bedürfen. Sinngemäß Ähnliches gilt zur sog. Kohärenz der Novellen zu den nationalen CyberSec-Regelungen untereinander als auch in Wechselwirkung zur EU-DSGVO und dem BSDG als deren nationaler Umsetzung; bspw. würden nach aktuellem Entwurfsstand zukünftig mit dem BSI (für NIS2), dem BBK (für KritisV) und dem BfDI (für DSGVO) drei parallel agierende Aufsichts- und Meldebehörden agieren, was häufig überlappende Meldepflichten zur Folge hätte. Gleichwohl ist sich die Fachwelt bereits jetzt ganz überwiegend einig, dass nach Abschluss des Gesetzgebungsverfahrens für die operative Umsetzung der notwendigen Maßnahmen und je nach Maß der Unternehmens-individuellen Betroffenheit kaum mehr ausreichend Zeit verbleibt. Dies gilt zumal, weil das nationale Inkrafttreten aufgrund der EU-Vorgaben bereits zwingend im Herbst 2024 feststeht.

Abrundend sei zur Vollständigkeit angemerkt, dass neben der nationalen Umsetzung der drei neuen EU-Richtlinien zur Cybersicherheit und der dazu im Entwurf vorliegenden Bundesgesetzgebung weitere föderale Regelungen zu erwarten sind. So haben bspw. Hessen mit dem sog. HITSichG sowie der Freistaat Bayern mit der Bay. DigV zum Bay. DigG bereits im Mai 2023 entsprechende Entwürfe vorgelegt, die nach Verabschiedung bei den jeweiligen Landes- bzw. Kommunalbehörden zu beachten sein werden.