Eine Frage der Kapazität : Expertise und ihre Verfügbarkeit im Kontext von NIS-2

Vor Umsetzung und Aufrechthaltung von NIS-2-Anforderungen soll die grundlegende Frage des Geltungsbereichs angerissen werden (vgl. [2]): Dieser ist im Groben abhängig von der Größe der Einrichtung gemäß der Definition aus EU 2003/361/EG [4] – mittlere und große Organisationen sind inkludiert – sowie der historischen Erfassung durch nationale Gesetzgebung oder einer besonderen Kritikalität (bspw. Monopolstellung oder ähnliche besondere Relevanz).

Wenn eine Einrichtung hierdurch infrage käme, sind folgende Sektoren für die Klassifizierung nach NIS-2 als „wesentlich“ zu werten: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trink- und Abwasser, digitale Infrastruktur, IKT-Diensteanbieter sowie der Weltraumsektor und die nationale beziehungsweise regionale öffentliche Verwaltung. Als „wichtig“ gelten hingegen Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen sowie Produktion, Verarbeitung und Vertrieb von Lebensmitteln, das verarbeitende Gewerbe und die Herstellung von Waren, Anbieter digitaler Dienste und Forschung.

Sowohl für „wesentliche“ als auch „wichtige“ Sektoren ist deren Nennung als Ebene gröbster Granularität zu verstehen – eine kurze Studie des Anhangs der Richtlinie lohnt sich, um nachvollziehen zu können, ob – auch wenn man einem dieser Sektoren zugehörig ist – eine Ausnahme (Exkludierung) bestehen könnte. So sind beispielsweise manche Unternehmen und Einrichtungen, auch wenn sie größen- und sektortechnisch erfasst würden, aufgrund der Spezifika ihrer angebotenen Dienstleistungen dann doch nicht inkludiert – und somit der NIS-2 nicht unterworfen. Ausnahmen werden überdies im restlichen Richtlinientext formuliert, beispielsweise in Artikel 2.

Reichweite der Richtlinie

Im Rahmen von Nachforschungen des Autors wurde eine detaillierte Schätzung über die potenziell betroffenen Organisationen angestellt: Diese beziffert in Deutschland rund 40 000 Unternehmen und Einrichtungen im Geltungsbereich von NIS-2. Aufgrund der schwierigen Datenlage kann diese Schätzung zwar nur einen ungefähren Eindruck geben – trotzdem lässt sich so ein Gefühl für die notwendige Menge an internem sowie externem Personal zur Umsetzung der Anforderungen entwickeln. Dieses wird allem voran benötigt, um ein Managementsystem zur Abdeckung der Vorgaben umzusetzen und perspektivisch aufrechtzuerhalten.

Um einen weiteren Einblick in den Status quo der IT-Sicherheit in Deutschland zu erhalten, erscheint es sinnvoll, die Anzahl bestehender Managementsysteme mit Bezug zur IT-Sicherheit zu betrachten – auch hier ist die Datenlage allerdings begrenzt. Um sich der Fragestellung anzunähern, wird angenommen, dass die ISO 27001 nebst zugehörigen Zertifizierungen ein passabler Proxy zur Schätzung des „gelebten“ Informationssicherheitsmanagements in Deutschland darstellt. Dann lässt die Anzahl gültiger Zertifikate einen Eindruck über die Handlungskapazität oder Reaktionsfähigkeit der Branche ableiten: 2021 wurden 1673 ISO-27001-Zertifikate in Deutschland ausgestellt, überprüft oder rezertifiziert.

Natürlich lässt sich einwenden, dass zwischen den geforderten Reifegraden und Anforderungen von NIS-2 und der ISO 27001 eine relevante Diskrepanz besteht. Dem ist zwar zuzustimmen – dennoch sollte auch bezüglich NIS-2 ein managementsystemähnlicher Aufbau etabliert werden, um zukünftigen Prüfungen standhalten zu können und Geldbußen zu vermeiden. Es darf zudem angenommen werden, dass in späteren Iterationen der Richtlinie die Anforderungen sukzessive ansteigen und sich mehr und mehr in Richtung der ISO 27001 (oder anderer Normen) entwickeln werden.

Vergleicht man nun die Schätzung von 40.000 Unternehmen und Einrichtungen im Geltungsbereich sowie den Bestand von 1673 ISO-27001-zertifizierten Informationssicherheitsmanagementsystemen [5], fällt die extreme Differenz sofort auf. Auch wenn nach NIS-2 kein Managementsystem mit derart anspruchsvollen Vorgaben wie denjenigen der ISO 27001 etabliert werden muss, so ist doch zu erwarten, dass (je nach Größe der Organisation) zusätzliche Positionen geschaffen werden müssen, um die Anforderungen umzusetzen, aufrechtzuerhalten und perspektivisch weiterzuentwickeln.

An dieser Stelle soll keine Schätzung über die hierfür notwendige Erhöhung erfolgen, da eine generelle Aussage hier schwierig wäre. Ein indikativer Datenpunkt könnte in diesem Kontext jedoch vom (ISC)2 kommen, der in seiner „Cybersecurity Workforce Study 2022“ [6] bereits eine bestehende Lücke von mehr als 100.000 IT-Sicherheits-Fachkräften in Deutschland attestiert. Mit der neuen NIS-2 Richtlinie wird diese Schätzung sicherlich weiter ansteigen – mit zukünftig strikteren Richtlinien umso mehr.

Angebot und Nachfrage

Ob die Zahl der benötigten Fachkräfte tatsächlich derart hoch ist, bleibt zwangsläufig diskutabel und soll hier nicht weiter erörtert werden. Sicher festhalten lässt sich jedoch: Das bestehende Angebot kommt der Nachfrage in den nächsten Jahren nicht hinterher – mit allen zu erwartenden daraus entstehenden nachteiligen Situationen für Organisationen, die (noch) keine entsprechende InhouseExpertise besitzen. Diese Situation wird sich durch die nachteilige Alterspyramide in Deutschland auch nicht von alleine entschärfen. Dementsprechend besteht Handlungsdruck, um frühzeitig die eigenen Notwendigkeiten zu erkennen und anzugehen! Dabei ist festzuhalten, dass das Schema „Gießkanne“ nur bedingt funktionieren wird. Frei nach dem Motto: Wo keine Fläche zu bewässern ist, kann auch nichts gegossen werden.

Chancen und Auswege

Um die Umsetzung der NIS-2-Richtlinie zu ermöglichen und beispielsweise ein daraus hervorgehendes Managementsystem sinnvoll zu betreiben, sollte man bei fehlenden personellen, organisatorischen, technischen oder finanziellen Kapazitäten Angebote wie den IT-Grundschutz erwägen. Auch wenn andere, komplexere Methodiken perspektivisch zielführender sein mögen, so muss doch anerkannt werden, dass diese bis zum NIS-2-Stichtag im Oktober 2024 nicht in der notwendigen Breite von allen in den Geltungsbereich fallenden Unternehmen und Einrichtungen zu adaptieren sein werden. Das Ziel für einen Großteil dieser Organisationen muss es dementsprechend sein, zunächst ein Basisniveau zu entwickeln, dass sich in einer zukünftig gelebten Praxis weiterentwickelt und kommenden Bedrohungslagen gerecht wird.

Um dieses Niveau zu erreichen, sollte man auch innerhalb der eigenen Strukturen nach fähigem Personal mit Weiterbildungspotenzial suchen. Managementsysteme sind vom Verständnis her auch ohne Vorkenntnisse zu durchdringen und lassen sich bei entsprechendem Einsatz für die Thematik durchaus meistern. Um eine effiziente Umsetzung zu ermöglichen, kann es dementsprechend von Vorteil sein, einen Coaching-Ansatz durch externes Fachpersonal wahrzunehmen und beispielsweise Schulungen zu ermöglichen – dasselbe gilt übrigens für weitere IT-lastige Anforderungen, beispielsweise im Kontext von Verschlüsselung.

Das Ziel vor Augen

Tendenziell sollte man bei der Umsetzung der Richtlinie beherzigen, dass die verfolgten Ziele ehrenwert und notwendig sind. Die Folgen einer Nicht-Beachtung grundlegender Sicherheitsgedanken im Kontext von Netzwerk- und Informationssicherheit lässt sich in den letzten zwei Jahren – zunehmend eskaliert – beobachten. Selbst das erst junge Jahr 2023 hat bereits in diversen Fällen einen Vorgeschmack auf erwartbare Vorfälle und Krisensituationen gegeben, denen derzeit der Großteil der deutschen Unternehmen und Einrichtungen nicht gut gewappnet gegenübersteht. Vor allem die deutsche KMU-Kultur wird so in eine unglückliche Lage gebracht, die es anzugehen und zu lösen gilt.

Fazit

Der erste wesentliche Schritt für Unternehmen und Einrichtungen in den eingangs aufgeführten Sektoren ist es, per Selbstprüfung die mögliche Inklusion im Geltungsbereich von NIS-2 zu ergründen. Dazu ist zunächst ein Selbststudium des Richtlinien-Textes sinnvoll und vergleichsweise simpel zu erarbeiten. In einem zweiten Schritt sollte man die eigenen personellen Strukturen betrachten und ehrlich gegen die (neuen) Anforderungen evaluieren. Auch wenn die Richtlinie viele anspruchsvolle Themen umfasst, sind diese mit der richtigen Einstellung und einer kompetenten Unterstützung doch realisierbar!

Die Aneignung einer passenden Expertise, sei es in Form gängiger Best Practices, externer Unterstützung und/oder motivierter Interner wird dabei aber unumgänglich sein. Denn eins ist klar: Die personelle und auch sicherheitstechnische Situation wird sich vorerst leider nicht verbessern. Ein früher Start der Umsetzung, aber auch das Gehen unkonventioneller Wege können dabei zufriedenstellende Lösungen herbeiführen. Das Thema und die Richtlinie zu ignorieren, stellt jedenfalls keine Option dar und kommt Organisationen im schlechtesten Fall durch mehr als nur erhebliche Bußgelder teuer zu stehen.

Rafael Trampnau ist Berater der HiSolutions AG im Bereich Security Consulting.

Literatur

[1] Rafael Trampnau, Kalina Sperber, NIS-2 und die öffentliche Verwaltung, Frühes Handeln wird sich rechnen, 2023#1, S. 27
[2] Dennis-Kenji Kipker, Dario Scholz, EU-Cybersecurity Version 2.0, Bringt NIS-2 das lang ersehnte Update für wesentliche und wichtige Einrichtungen? Eine Analyse, 2023# 1, S. 19
[3] Europäische Union, Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), in: Amtsblatt der Europäischen Union L 333, S. 80, Dezember 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555
[4] Europäische Union, Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, in: Amtsblatt der Europäischen Union L 124, S. 36, Mai 2003, https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32003H0361
[5] statista, Bestand an gültigen ISO-27001-Zertifikaten in Deutschland in den Jahren 2006 bis 2021, September 2022,
https://de.statista.com/statistik/daten/studie/829353/umfrage/bestand-an-vergebenen-iso-27001-zertifikatenin-deutschland/ (Details kostenpflichtig)
[6] (ISC)2, Cybersecurity Workforce Study 2022, A critical need for cybersecurity professionals persists amidst a year
of cultural and workplace evolution, Oktober 2022, https://www.isc2.org/-/media/ISC2/Research/2022-WorkForce-Study/ISC2-Cybersecurity-Workforce-Study.ashx