Kein NIS2-Gesetz - Was das Ampel-Aus für die Cybersicherheit der kritischen Infrastruktur bedeutet
Veröffentlicht: 7. November 2024 von Hannah und René
Das politische Aus der Ampel-Koalition in Deutschland hinterlässt nicht nur auf der Regierungsbank eine Lücke – es bedeutet auch große Unsicherheit für die Cybersicherheit in Unternehmen der kritischen Infrastruktur (KRITIS).
Die NIS2-Richtlinie, die europaweit für höhere Sicherheitsstandards sorgen soll, könnte in Deutschland nicht rechtzeitig umgesetzt werden. Während die Bedrohung durch Hacker und Datenklau steigt, fehlen KRITIS-Betreibern und dem Mittelstand klare gesetzliche Vorgaben und konkrete Anleitungen zur Sicherstellung der IT-Sicherheit.
In diesem Beitrag erfahren Sie, was das Ende der Ampel-Koalition für die Cybersicherheitsstrategie in Deutschland bedeutet und welche Maßnahmen Unternehmen jetzt ergreifen sollten, um sich trotz dieser politischen Unsicherheiten vor steigenden physischen und Cyberangriffen effektiv zu schützen.
Politische Unsicherheit: Ampel-Aus setzt Cybersicherheit unter Druck
Am 6. November 2024 zerbrach die Ampel-Koalition, und die geplante Umsetzung der NIS2-Richtlinie steht damit auf der Kippe. Diese EU-Richtlinie, die bereits 2022 in Kraft trat, soll Unternehmen kritischer Infrastrukturen verpflichten, ihre Cybersicherheitsstandards zu erhöhen. Doch bislang gibt es kein verabschiedetes Gesetz in Deutschland, das die NIS2-Vorgaben regelt. Lediglich ein Gesetzentwurf des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) aus Juli 2024 (Regierungsversion: Oktober 2024) liegt vor und sieht ein Inkrafttreten im März 2025 vor.
Der aktuelle politische Stillstand und die Unsicherheit über künftige Regierungsbildungen lassen befürchten, dass dieses Gesetz in absehbarer Zeit jedoch nicht mehr verabschiedet wird.
Was die verzögerte Umsetzung der NIS2-Richtlinie für KRITIS-Betreiber bedeutet
Diese Unsicherheit hat massive Auswirkungen auf die Cybersicherheit deutscher Unternehmen, besonders für Betreiber kritischer Infrastrukturen wie Banken, Energieversorger oder Gesundheitsdienste, die stark von klaren Richtlinien abhängig sind.
Ohne die NIS2-Umsetzung im deutschen Recht können Unternehmen die Anforderungen der NIS2-Richtlinie nur schwer umsetzen und laufen Gefahr, bis zu den Fristen 2025 nicht compliant zu sein. Die EU sieht Sanktionen vor, wenn Unternehmen ihre IT-Sicherheit nicht rechtzeitig im Sinne der Richtlinie anpassen – ohne deutsches Umsetzungsgesetz ist jedoch unklar, welche Standards genau eingehalten werden müssen. Dies stellt Unternehmen vor enorme Herausforderungen:
Beispielhafte Angriffsmethoden
- Rechtliche Grauzonen: Unternehmen wissen nicht, welche konkreten Sicherheitsanforderungen sie erfüllen müssen und welche Berichte an Behörden tatsächlich notwendig sind.
- Risikoverzögerungen: Da die genauen Anforderungen unklar sind, könnten viele Unternehmen sicherheitskritische Maßnahmen aufschieben, was Hackerangriffe und Datenklau wahrscheinlicher macht.
- Unklare Zuständigkeiten und Compliance-Risiken: Viele Unternehmen könnten gar nicht wissen, ob sie unter die neue Definition kritischer Infrastrukturen fallen und damit den erweiterten Sicherheitsauflagen unterliegen.
Die NIS2-Richtlinie weitet den Geltungsbereich aus und betrifft nun auch Unternehmen, die bislang nicht als KRITIS galten. Der Mittelstand könnte also gezwungen sein, erhebliche Mittel für neue Sicherheitsmaßnahmen zu reservieren – ohne zu wissen, was wirklich gefordert ist. Diese Unsicherheit führt auch zu einem Rückgang in der Planungssicherheit und könnte deutsche Unternehmen in der internationalen Wettbewerbsfähigkeit schwächen, da Unternehmen in anderen EU-Ländern längst an der Umsetzung arbeiten.
Cybersicherheit in der Krise: Gefahren durch politische Verzögerungen
In einer Zeit, in der Cyberbedrohungen täglich komplexer und schwerwiegender werden, ist eine unklare Gesetzeslage ein gefährliches Risiko. Laut dem Bitkom-Wirtschaftsschutzbericht 2024 beliefen sich die wirtschaftlichen Schäden durch Cyberkriminalität in Deutschland zuletzt auf 178,6 Milliarden Euro in zwölf Monaten. Der Bericht hebt hervor, dass 80 % der Angriffe aus dem Ausland kommen und 8 von 10 Unternehmen Opfer von Wirtschaftskriminalität wie Industriespionage, Datenklau oder Sabotage sind.
Die Risiken für Unternehmen sind nicht nur finanzieller Natur, sondern umfassen auch Schäden am Unternehmensimage und einen möglichen Verlust von Marktanteilen. Einige aktuelle Beispiele verdeutlichen das Bedrohungspotenzial für kritische Infrastruktur:
- Social Engineering:
Im Juli 2024 fiel die Volksbank Düsseldorf Neuss einem Phishing-Betrug zum Opfer, der durch geschickte Manipulation (Social Engineering) zu einem Schaden von 100 Millionen Euro führte. - Supply Chain Attacken:
Der MOVEit-Datenklau betraf Informationen von 85 Millionen Menschen und legte offen, wie verwundbar große Organisationen im Finanzsektor durch ihre Dienstleister sein können. Betroffen waren hier unter anderem die Deutsche Bank, Comdirect und ING. - Physische Angriffe:
Der Anschlag auf die Nord Stream-Pipelines in der Ostsee im Jahr 2022 zeigt, dass kritische Infrastruktur nicht nur digital, sondern immer noch auch physisch bedroht ist. Bis heute ist unklar, wer für den Anschlag verantwortlich ist.
Handlungsempfehlungen: Was Unternehmen auch ohne NIS2 tun sollten
Gesetze schaffen vor allem Rahmenbedingungen und üben Druck auf die Verantwortlichen aus. Jedoch nur auf Zuruf des Gesetzgebers zu handeln, wird die Resilienz nicht stärken. Cybersicherheit ist heute eine Pflichtaufgabe – unabhängig davon, wie schnell oder langsam die politischen Vorgaben kommen.
Die (geo-)politischen Unsicherheiten, steigende Angriffszahlen und die Verzögerung des NIS2-Umsetzungsprozesses verdeutlichen nun die Dringlichkeit eigeninitiativ zu handeln. Auf den Gesetzgeber kann nicht länger gewartet werden.
Die folgenden Handlungsempfehlungen sind speziell darauf ausgerichtet, KRITIS-Betreiber und den Mittelstand in Deutschland bei der Stärkung ihrer Cybersicherheit zu unterstützen, auch ohne gesetzliche Vorgaben:
- Risikobewertung und Bestandsaufnahme: Unternehmen sollten regelmäßig Risikoanalysen durchführen, um bestehende Schwachstellen in ihrer IT-Infrastruktur zu identifizieren und zu beheben.
- Sicherheitskultur auf allen Ebenen fördern: Cybersicherheit ist Chefsache. Geschäftsführer und Vorstände sollten sich persönlich dafür einsetzen, dass Informationssicherheit auf allen Ebenen eines Unternehmens verankert wird – von der Mitarbeiterschulung bis zur Einbindung von Cybersicherheit in alle Geschäftsprozesse.
- Investition in IT-Sicherheitstechnologien und Cyber Resilienz: Unabhängig von gesetzlichen Vorgaben sollte in fortschrittliche IT-Sicherheitslösungen investiert werden, darunter Systeme zur Angriffserkennung, Verschlüsselungstechnologien und Sicherheitsüberprüfungen.
- Flexible Sicherheitsstrategien entwickeln: Da sich politische Rahmenbedingungen jederzeit ändern können, sollten Unternehmen ihre Cybersicherheitsstrategien flexibel gestalten und darauf vorbereitet sein, auf neue Anforderungen zu reagieren.
- Partnerschaften und Netzwerke nutzen: Unternehmen sollten stärker mit Behörden und Sicherheitsorganisationen kooperieren, um sich über aktuelle Bedrohungen zu informieren und gemeinsame Lösungen zu entwickeln. Die Zusammenarbeit in Netzwerken wie Allianzen oder mit Sicherheitsfirmen kann entscheidende Vorteile bringen.
- Proaktive Vorbereitung auf NIS2-Anforderungen: Auch wenn die Umsetzung in Deutschland stockt, können Unternehmen sich auf die wahrscheinlich kommenden NIS2-Standards vorbereiten. Die Schaffung grundlegender Sicherheitsstandards und regelmäßiger Reportings über Sicherheitsvorfälle hilft dabei, EU-Vorgaben potenziell schneller und effizienter zu erfüllen.
Fazit: Cybersicherheit als unternehmerische Verantwortung in unklaren Zeiten
Das politische Aus der Ampel-Koalition stellt Unternehmen vor neue Herausforderungen, aber auch vor die Chance, Cybersicherheit unabhängig von staatlichen Vorgaben endlich zu priorisieren.
Hacker, Datendiebstahl und zunehmend komplexe Bedrohungen wie Supply Chain Attacken und Social Engineering zwingen Unternehmen dazu, Cybersicherheit als strategisches Ziel zu verfolgen. Nur eine gut durchdachte und unabhängig entwickelte IT-Sicherheitsstrategie gewährleistet, dass Unternehmen langfristig gegen die Bedrohungen der modernen Cyberwelt gewappnet sind.