Die gemeinnützige European Cyber Security Organisation (ECSO) hat ein »White Paper« mit dem Titel »NIS2 Implementation: challenges and priorities« veröffentlicht. Es soll einen raschen Überblick zur Umsetzung der NIS-2 in den EU-Mitgliedsstaaten verschaffen.
Bis zum 17. Oktober 2024 hatten die EU-Mitgliedsländer Zeit, die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU (Network and Information Security 2, kurz: NIS-2) in nationales Recht umzusetzen. Doch nicht nur die gescheiterte Ampel-Koalition in Berlin hat es versäumt, dieser Pflicht mit dem bisher nur im Entwurf vorliegenden NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) rechtzeitig nachzukommen. Für die ECSO, eine paneuropäische Organisation mit über 320 Mitgliedern aus mehr als 30 Ländern, darunter Unternehmen wie Accenture, Airbus, Deloitte, SAP und Siemens, aber auch die Bundesdruckerei GmbH, ein Unding. Bis zum 02. Dezember 2024 haben lediglich vier Länder, nämlich Kroatien, Italien, Belgien und Litauen – die Richtlinie vollständig umgesetzt. Die meisten anderen EU-Länder streben eine Einführung im 1. Quartal 2025 an. Diese fragmentierte Umsetzung hat nach Einschätzung der ECSO erhebliche Herausforderungen geschaffen, insbesondere für grenzüberschreitend tätige Unternehmen und Organisationen. Sie beruhen darauf, dass die EU-Mitgliedstaaten unterschiedliche Ansätze bei der Klassifizierung von Unternehmen (sie reichen von einstufigen bis hin zu dreistufigen Systemen), der Einbeziehung von Sektoren und den Schwellenwerten für die Unternehmensgröße verfolgt haben; außerdem gibt es unterschiedliche Klassifizierungen für die Meldung von Vorfällen, unterschiedliche Fristen für die Einhaltung von Vorschriften und unterschiedliche internationale Sicherheitsrahmen. In der Domain Name Industry sind davon unter anderem Registries und Registrare betroffen.
Dies führe zu besorgniserregenden Lücken, wie eine Umfrage der ECSO unter 155 Teilnehmern aus 23 Ländern ergeben habe und deren Ergebnisse nun in einem 42-seitigen, kostenfrei abrufbaren »White Paper« veröffentlicht wurden. Fast drei Viertel der Teilnehmer verfügten über keine Implementierungsbudgets und ein Drittel berichtet von keiner Beteiligung der Geschäftsleitung, obwohl deren Haftung in den Mittelpunkt gestellt wird. Zu den größten Problemen zählen demnach unklare Implementierungsanforderungen, Sicherheitsbedenken im Hinblick auf die Lieferketten, die Komplexität bei der Meldung von Störfällen und die Einbettung der NIS-2 in bestehende Sicherheitsprotokolle. Die finanziellen Auswirkungen der Implementierung gelten als besonders gravierend, wenn man sowohl die notwendigen Investitionen in die Technologie als auch die erforderlichen Prozessänderungen berücksichtige; hinzu komme, dass es vielen Unternehmen an Erfahrung beispielsweise aus der NIS-1 fehlt. Daher stünden vor allem kleine und mittlere, aber auch multinational tätige Unternehmen vor überproportionalen Herausforderungen. Die Ergebnisse würden unterstreichen, dass die EU-Mitgliedsländer ihre Ansätze dringend harmonisieren müssen.
Das »White Paper« der ECSO liefert dabei aber auch praktische Hilfe, denn es gibt konkrete Empfehlungen für die NIS2-Implementierung. Dazu zählt die Zusammenarbeit mit Interessengruppen, die Bestimmung einer einzigen Stelle für die Meldung aller Cybersicherheitsvorfälle, die Standardisierung von Vorlagen und Datenformaten. Dabei könne man sich auf bestehende Standards als ausreichenden Konformitätsnachweis verlassen. Eine Schwachstelle kann das »White Paper« aber nicht ausmerzen: solange hierzulande Unklarheit über die künftige Regierung herrscht, gibt es auch Unklarheit über den Inhalt des NIS-2-Umsetzungsgesetzes – bis dahin stochern alle im Nebel.