Wie wirkt sich NIS-2 auf Fusionen, Übernahmen und Veräußerungen aus?
Die NIS-2-Richtlinie verändert die Spielregeln bei Fusionen und Übernahmen. Was Unternehmen beachten sollten, erklärt unser Autor Dominik Denninger in seinem Beitrag.
Als Reaktion auf die wachsenden Herausforderungen im Bereich der Cybersicherheit hat die EU ihre Cybersicherheitsrichtlinie Network and Information Security (NIS) überarbeitet, die als Rahmenwerk ein gemeinsames Cybersicherheitsniveau in der Europäischen Union erzielen soll. Die aktualisierte Richtlinie ist als NIS-2 bekannt und die Mitgliedstaaten sind aufgefordert, diese Direktive bis zum 17. Oktober 2024 in nationales Recht umzusetzen.
Auf Basis der ursprünglichen Direktive geht die Überarbeitung mit einer bedeutenden Evolution der Cybersicherheitsrichtlinien einher. Zu den wichtigsten Veränderungen zählen die Erweiterung der Reichweite der Direktive auf weitere Industriesegmente und darüber hinaus auch auf neue Bestimmungen für eine höhere Cybersecurity-Resilienz und Reaktionsfähigkeiten auf Vorfälle. Um die Direktive umzusetzen, müssen die betroffenen Organisationen Maßnahmen ergreifen, die Cyberrisiken zu minimieren, zum Beispiel in Form von Risiko-Management oder Kontroll- und Report-Mechanismen auf Vorfälle. Das Management wird in die Pflicht genommen, die Umsetzung der Maßnahmen und Schulungen zu kontrollieren. Empfindlichere Strafen für die Nichteinhaltung der Direktive sollen für eine stringente Umsetzung und Priorisierung der Cyber-Sicherheit sorgen.
Die Auswirkungen auf Fusionen, Übernahmen und Veräußerungen (M&A/D)
Im Allgemeinen stellen solche Transaktionen für sich genommen existierende Standards auf die Probe. Sie belasten die bestehenden Vorgehensweisen und es gibt eine Reihe von einmaligen Szenarien, die schwer planbar sind. Zusätzlich gehen sie mit einer geringen betrieblichen Effektivität und einem Mangel an Klarheit über den Status quo der bestehenden Technologie-Architekturen einher. Insbesondere im Hinblick auf Cyberangriffe und die damit verbundenen Risiken stellen sie eine große Herausforderung dar, denn kein Unternehmen möchte sich einen Sicherheitsvorfall durch unbemerkt infizierte Infrastrukturen durch eine Übernahme sozusagen einkaufen.
Eine kürzlich von Zscaler durchgeführte Studie zum VPN-Risiko zeigte auf, dass Angriffe im Zusammenhang mit M&A/D-Szenarien in den letzten Jahren deutlich zugenommen haben. Nicht nur deren Frequenz hat sich erhöht, sondern auch die Tragweite und Auswirkungen der Angriffe. Die Studie verdeutlicht die Bedeutung von effizienter Cyber-Risikobekämpfung und die Konformität mit NIS-2 kann dazu bereits im Due Diligence Prozess beitragen, indem besonderes Augenmerk auf die Netzwerk- und Sicherheitsarchitekturen, Governance und die übernommenen Technologien inklusive Code und Software gelegt wird. Fehlende Transparenz in einem frühen Stadium erhöht das Risikopotenzial und kann die NIS-2-Konformitätsbestrebungen unterlaufen.
Dementsprechend sollten die Planungen für NIS-2-konforme Übernahmen oder Integrationen bereits an Tag 0 starten. Die Verantwortung für NIS-2 liegt dabei sowohl auf Seiten der IT als auch der Geschäftsbereiche, was auch eine aktuelle Umfrage von Zscaler bestätigt: Die Zuständigkeit für NIS-2 wird zu 42 Prozent beim CIO/CISO angesiedelt und zu 58 Prozent in den Geschäftsbereichen und müssen im Betriebsmodell mit all seinen Prozessen wiedergegeben werden. Besondere Bedeutung kommt dabei der Supply-Chain mit Transparenz zu potenziellen Schwachstellen und deren Bekämpfung zu, die hier aufgrund der unterschiedlichen Umgebungen besonders schwer zu erzielen sind.
Bis zum Tag 1 sollten die betroffenen Organisationen die folgenden Schritte eingeleitet haben:
- Definition der Governance und Verantwortlichkeiten für Cyberrisikobekämpfung in den Geschäftsbereichen, IT und bei Drittparteien
- Lösungsarchitekturen, die zur Reduktion der Angriffsflächen beitragen und ganzheitliche Transparenz über die Organisation geben.
- Schutz des geistigen Eigentums durch effiziente Maßnahmen zur Data-Loss-Prevention (DLP), die es bereits im Frühstadium zu implementieren gilt.
NIS-2-Konformität mit einem cloudbasierten Zero-Trust-Ansatz
In Transaktionen bietet es sich besonders an, effiziente Lösungen für Konnektivität, Integrität und Sicherheit einzusetzen, da es hierdurch leichter möglich ist, einen vollständigen Überblick und die Kontrolle über Unternehmens-Assets der Organisation zu erhalten. Zudem bieten Plattformen auch einen Effizienzvorteil – sowohl im Projekt-, als auch im Zeitmanagement und im fortlaufenden Geschäftsbetrieb.
Mit Blick auf Zero Trust sollten Organisationen im Auswahlprozess cloudnative, proxybasierte Architekturen berücksichtigen und nicht auf traditionelle VPN- oder Firewall-Technologien zurückgreifen. Cloudbasierte Next Generation Firewalls bilden hier keine Ausnahme und bergen ein zu hohes Angriffspotential. Skalierbarkeit und eine globale Service-Bereitstellung sollten zudem hohe Priorität haben, da die Integration von übernommenen oder abzuspaltenden Netzwerkumgebungen auf globaler Ebene stattfindet. Wert sollte demnach auf die weltweite Präsenz von Rechenzentren für die Umsetzung der Serviceleistungen an allen „Points of Presence“ gelegt werden. Eine unzureichende Leistungsfähigkeit einer Plattform könnte der Geschwindigkeit von M&A/Ds entgegenwirken, sowie die User-Experience beeinträchtigen und zu höheren Kosten und Verwaltungsaufwänden führen.
Fazit
Es gibt viele Elemente, die eine Transaktion beeinflussen, wobei Infrastruktur und Cybersicherheit zwei maßgebliche Größen sind, die einen effektiven Betrieb ermöglichen. Mit Bezug auf NIS-2 bedeutet das aber auch, dass die Umsetzung der Direktive bereits früh in der Funktional-Planung beginnen muss, um eine NIS-2 Konformität überhaupt erreichen zu können.
Zusammenfassend gibt es vier Punkte, die Unternehmen hierbei beachten sollten:
- Transparenz über alle Technologie-Assets und Einblick in die notwendigen Prozesse für Konformität sind zwei wichtige Bestandteile der Due Diligence, die zur Feststellung des Risikoniveaus und der Cyberresilienz beitragen.
- NIS2-Konformität beginnt mit klar definierten Zuständigkeiten auf Ebene des Geschäftsbetriebs und der IT als Teil des Betriebsmodells.
- Eine moderne IT-Architektur ist die Grundlage für die erfolgreiche Abwehr von Cyberangriffen. Traditionelle Castle-& Moat-Konzepte (Firewalls, VPNs) bergen Angriffsflächen für Hacker, die in M&A/D-Situationen kritisch sein können, wenn der reguläre Betrieb mit etablierten Prozessen aus den Angeln gehoben ist.
- Ein Plattformansatz hilft Komplexität zu reduzieren. Plattformen tragen zur Harmonisierung von ausufernden Infrastrukturen bei und bieten Sicherheit und Konnektivität als Service. Herkömmliche Lösungen geraten an ihre Grenzen, wenn Organisationen kontinuierlich Geschäftsbereiche zukaufen oder abspalten
Autor
Dominik Denninger ist Senior Manager M&A, Divestiture, Private Equity bei Zscaler.