Regulierungen bauen Druck auf die Vorstände auf

Stichworte für neue Regulierungen sind EU AI Act, KI-Haftungsrichtlinie, Cyber Resilience Act, Digital Operational Resilience Act (DORA) und einige mehr. Die größte Bedeutung für die IT-Security im Jahr 2024 hat die Richtlinie über die Sicherheit von Netz- und Informationssystemen, kurz NIS2. NIS2 ist für Peter Machat, Senior Director EMEA Central beim IoT-Spezialisten Armis, nichts Geringeres als „ein grundlegender Wandel der Cybersicherheit im europäischen Raum.“

Die NIS2-Richtlinie der EU ist am 16. Januar 2023 in Kraft getreten und muss von den Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland soll das im NIS2UmsuCG geschehen, dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Anfang 2024 will die Bundesregierung den mittlerweile vierten Referentenentwurf präsentieren.

NIS2 zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der EU zu gewährleisten. Die Verordnung erweitert den Anwendungsbereich im Vergleich zu ihrem Vorgänger, indem sie mehr Sektoren und Arten von Organisationen einbezieht, die als kritische Infrastrukturen gelten, und verschärft die Anforderungen an die Sicherheits- und Meldepflichten. Zudem verstärkt sie die nationalen Aufsichts- und Durchsetzungsmaßnahmen.

Organisationen wie Open Kritis sprechen davon, dass für etwa 30.000 Unternehmen in Deutschland, die nicht zu den klassischen Kritische Infrastrukturen zählen, die Security-Pflichten steigen werden. Und die IBM-Ausgliederung Kyndryl warnt: Auch wenn kleine Unternehmen mit weniger als 50 Mitarbeitern eigentlich ausgenommen sind, können sie von den NIS2-Pflichten betroffen sein, wenn sie als direkte Zulieferer für regulierte Unternehmen tätig sind

Viele Unternehmen fragen sich, was sie tun müssen, um den NIS2-Anforderungen Genüge zu tun – oder sollten das zumindest tun. Peter Machat zufolge müssen betroffene Firmen Funktionen zur Erfassung von Datenpaketen implementieren und Tools für das Risikomanagement und zur Berichterstattung über Vorfälle einführen. Laut TÜV Trust IT hat NIS2 zur Folge, dass mehr Unternehmen verpflichtet sein werden, Systeme zur Angriffserkennung (SzA), wie ein Security Operations Center, zu nutzen. Wenngleich NIS2 den Einsatz von SzA nicht explizit fordere und das deutsche NIS2-Umsetzungsgesetz dies nur auf Betreiber kritischer Anlagen beschränke, seien SzA inzwischen unverzichtbarer Bestandteil einer wirksamen und umfassenden Cybersicherheitsstrategie, welche durchaus von den Regulatoren gefordert werde. Aufgrund dessen müssten sich Unternehmen und Organisationen, die von NIS2 betroffen seien, im kommenden Jahr mit diesen Systemen auseinandersetzen – auch ohne explizite Verpflichtung.

Sozusagen ein Kollateralschaden der verschärften Bedrohungslage und der daraus resultierenden Regulierungen ist ein wachsender Druck auf die Führungskräfte. Christian Have, CTO von Logpoint, berichtet: „Die Vorstände von Unternehmen weltweit sehen sich einem beispiellosen Druck und Stress ausgesetzt, da sie in einem Umfeld agieren müssen, das von unerbittlichen Cyber-Bedrohungen, Budgetbeschränkungen und regulatorischen Anforderungen geprägt ist.“ Wer unter die NIS2-Vorschriften falle, stehe unter größerem Druck, Verstöße zu verhindern und zu bewältigen. Auch die persönliche Verantwortung werde zunehmen, da leitende Angestellte und Vorstandsmitglieder persönlich zur Rechenschaft gezogen würden, wenn es zu einem Verstoß komme und die NIS2-Anforderungen nicht erfüllt wären. Daher liege der Fokus auf der Prüfung von Systemen und Prozessen, um die Abwehrkräfte zu stärken und die Sorgfaltspflicht zu erfüllen.

„Angesichts der Angst vor Rufschädigung, finanziellen Verlusten und rechtlichen Konsequenzen müssen Vorstände schwierige Entscheidungen über die Ressourcenzuweisung, strategische Partnerschaften und das Überleben ihres Unternehmens treffen“, konstatiert Have. Die Entwicklungen in der IT-Sicherheit „konfrontieren die Vorstände mit der düsteren Realität, dass ihre Organisationen Hauptziele für Cyberkriminelle sind,“ so der CTO

Auch Jacques Boschung, CEO von Kudelski Security, befürchtet, dass es für Vorstände und Führungskräfte 2024 schwieriger werde, gesetzeskonform zu agieren. Zur Begründung schreibt er: „Mit den neuesten Offenlegungsvorschriften der SEC sowie Regularien wie dem EU Cyber Resilience Act und der Network and Information Security Directive (NIS2) könnten die hohen Strafen, die bei Nicht-Umsetzung bzw. Nicht-Einhaltung erfolgen, finanziell fast genauso schädlich sein wie ein Cyberangriff.

Besonders CISOs internationaler Unternehmen werden es Boschung zufolge schwer haben, da es nur wenig Überschneidungen zwischen dem Cybersicherheitsrecht in den USA und der EU gebe. 2024 sei es Boschung zufolge für CISOs deshalb von großer Bedeutung, die verschiedenen Vorschriften in den Regionen, in denen ihr Unternehmen Geschäfte tätig ist, gründlich zu analysieren. „Die Strafen und rechtlichen Albträume, die aus der Nichteinhaltung resultieren,“ könnten verheerend sein, so seine Warnung.

Für Todd Moore, Senior VP Data Security Products bei Thales, steht 2024 die Rolle der Sicherheitsverantwortlichen in den Unternehmen auf dem Prüfstand, insbesondere nach dem Vorfall bei SolarWinds, als Kriminelle über ein kompromittiertes Update eine Hintertür in die Systeme und Netzwerke der Solarwinds-Kunden einschleusen konnten: „Führungskräfte werden sich intern Gedanken darüber machen, wie die IT-Sicherheit in Zukunft gehandhabt werden soll. Wo die Verantwortlichkeiten für Compliance und IT-Sicherheit ursprünglich getrennt waren, wird eine stärkere Harmonisierung stattfinden. Nur dann können Unternehmen sicherstellen, dass sowohl bewährte Verfahren als auch rechtliche Anforderungen erfüllt werden – und viele werden sich an Audit-Unternehmen und -Zertifizierer wenden, um Entschädigung und Schutz zu erhalten“, so Moore.

Die neuen Vorschriften belasten auch Sergej Epp zufolge, dem CISO von Palo Alto für Zentraleuropa, die Vorstände mit mehr Verantwortung im Bereich Cybersicherheit. „Infolgedessen werden Unternehmen mehr Experten oder ehemalige CISOs in ihre Vorstände aufnehmen und spezielle Cybersicherheits-Ausschüsse einrichten, um der zunehmenden Kontrolle durch Regulierungsbehörden zu begegnen“, so Epp. Unternehmen sollten deshalb mit ausdrücklicher Unterstützung des Vorstands einen Governance-Rahmen für Cyber-Resilienz etablieren, die CISOs sollten jährliche Vorstandssitzungen mit Einbindung der Partner einführen sowie den Vorstand proaktiv beraten und Tabletop-Übungen durchführen

Wie anscheinend überall kommt auch auf dem Feld der Regulierungen Künstliche Intelligenz als Hoffnungsträger ins Spiel. Das Schweizer Security-Unternehmen Exeon ist der Meinung, dass KI für Security-Teams unerlässlich ist, um internationale Cybersecurity-Richtlinien und Compliance-Anforderungen zu erfüllen. Richtlinien wie DORA, NIS2 und IT-SiG 2.0 hätten zwar das Ziel, die Resilienz von Unternehmen und Behörden zu erhöhen, würden jedoch dafür erhebliche Anforderungen an die Sicherheitssysteme und das Sicherheitspersonal stellen. Ohne KI und Maschinelles Lernen (ML) in den Verteidigungssystemen werde es laut Exeon nahezu unmöglich sein, die neuen Richtlinien effektiv umzusetzen.

Die Experten sehen die Regulierungswelle dabei keineswegs immer nur als Belastung. Zum einen seien die Gesetze ein Zeichen dafür, dass auch den Regierungen bewusst geworden sei, wie ernst die Bedrohungen geworden sind, zum anderen würden diese auch als Innovations- und Investitionstreiber wirken. So prognostiziert Dominik Bredel, Deutschlandchef für den Bereich Security und Resilienz bei der IBM-Tochter Kyndryl: „Die verschiedenen neuen Regularien werden im Jahr 2024 die schon lange notwendige und immer wieder angemahnte IT-Security-Konsolidierung und Modernisierung in Deutschland vorantreiben.“

Ähnlich äußert sich Richard Werner, Business Consultant bei Trend Micro. Er argumentiert so: „Sobald NIS2 in nationales Recht umgesetzt wurde – spätestens bis Oktober 2024 – wird es zunächst ein ‚Hauen und Stechen‘ geben, wer darunterfällt. Unternehmen werden versuchen, sich der strengeren Regulierung zu entziehen. Durch die Verpflichtung Betroffener, auch ihre Lieferketten miteinzubeziehen, wird allerdings im Besonderen bei Zulieferern und Logistikern ein gegenteiliger Effekt eintreten. Sie werden ihre IT-Security-Architekturen an den neuen Vorgaben ausrichten, um ihren Kunden einen spezifischen Vorteil im internationalen Wettbewerb bieten zu können.“

Werner findet es zwar traurig, dass es erst neue gesetzliche Vorgaben brauche, um die Gefahr von Lieferketten-Angriffen bewusst zu machen. „Andererseits ist es positiv zu sehen, dass der Gesetzgeber hier auf eine klare Bedrohung mit eindeutigen Regeln reagiert“, so Werner.

Steve Bradford, Senior Vice President EMEA bei SailPoint, einem Anbieter im Bereich Identity and Access Management (IAM), nimmt die Unternehmen in die Pflicht: „Sie müssen selbst aktiv werden und ihre Daten schützen, und dürfen nicht auf gesetzliche Regelungen warten. Je mehr Daten generiert werden, desto größer ist die Angriffsfläche.“ Bradford sieht bei den deutschen Unternehmen zwar gute Fortschritte bei der Vorbereitung auf Regulierungen wie NIS2, macht aber darauf aufmerksam, dass immer noch drei Viertel ihre Vorbereitungen noch nicht abgeschlossen hätten. Er warnt: „Je ausgefeilter die Bedrohungen werden, desto mehr steht auf dem Spiel. Betriebsunterbrechungen, Rufschädigung, Kundenverluste und die aufwändige Wiederherstellung von Systemen nach einer Datenpanne können für Unternehmen mit enormen Kosten verbunden sein. Der Schutz sensibler Daten und die Gewährleistung, dass nur die Personen Zugriff auf sie haben, die ihn unbedingt benötigen, sind von entscheidender Bedeutung.“