Annehmbare Auswirkungen

IT-Sicherheitsgesetz NIS wird IT-SiG kaum ändern

| Autor / Redakteur: Robert Hellwig* / Ulrike Ostler

Network and Information Security für europäische Daten
Network and Information Security für europäische Daten (Bild: Data Center Group)

Ursprünglich war es so: Die Europäische Union hat 2013 angestoßen, dass IT-Infrastrukturen gesondert normativ geschützt werden müssen.

Auch die Bundesrepublik Deutschland hat erkannt, dass IT ein wichtiger Faktor ist, damit das eigene Land funktionieren kann. Darum hat sie die auf Europaebene bereits diskutierten und absehbaren Richtlinien eigenständig im Voraus ausgearbeitet und 2015 durch das IT-Sicherheitsgesetz (IT-SiG) verabschiedet. Zwar gilt es heute als Vorbild und Grund für Deutschland als gesicherten Standort. Zweifelsohne bleibt aber der Schutz von IT-Infrastrukturen europaweit mindestens genauso wichtig.

Unter der Bezeichnung NIS (Network and Information Security) wurden daher Vorschläge inhaltlich von der EU-Kommission verabschiedet und sollen nun in eine verbindliche EU-Richtlinie mit Gesetzescharakter umgewandelt werden. Für deutsche Unternehmen, die sich nach dem IT-SiG eingerichtet und beispielsweise bereits ein ISMS eingeführt haben, ändert sich nach aktuellem Stand dadurch kaum etwas.

Aufatmen: Wie wichtig der Schutz von IT-Infrastrukturen und Informationen ist, wurde auch in Europa erkannt. Das IT-SiG ist damit kein deutscher Regulierungswahn. Es steckt viel mehr dahinter. Denn das Ziel von NIS ist, nach Vorbild des IT-SiG kritische Infrastrukturen in der EU zu ermitteln und deren Schutz zu definieren.

Auch die betroffenen Branchen sind die gleichen. Das ist eine gute Nachricht für deutsche Unternehmen: Sie befürchteten doppelten Aufwand, wenn sie ISMS zuerst nach dem IT-SiG und später nach NIS einführen müssten. Es ist aber auch eine gute Nachricht für europaweit arbeitende Unternehmen, die nun keine deutschen „Extrawürste“ braten müssen.

Verantwortlich ist ENISA

Verantwortlich als europäische Zentrale beziehungsweise Kooperationsstelle wird die ENISA (European Network and Information Security Agency) sein. Analog zum deutschen BSI koordiniert sie die Umsetzung, Aktivitäten sowie Vorfälle und ruft gegebenenfalls europaweite Maßnahmen aus. Die ENISA wird sich dazu anders aufstellen müssen. Wie viele Ressourcen dazu allerdings benötigt werden, ist noch unklar. Ebenso ungewiss ist, welche Befugnisse ENISA über die jeweiligen Landesbehörden wie zum Beispiel das BSI haben wird.

Fest steht indes ein erster NIS-Zeitplan. Dieser sieht vor, dass mit Rechtsgültigkeit des Gesetzes die jeweiligen EU-Staaten 21 Monate für ihr eigenes nationales IT-Sicherheitsgesetz haben. Das beinhaltet Beschluss, Verabschiedung und Inkrafttreten.

Diesem durchaus straffen Zeitansatz kann Deutschland durch das bestehende IT-SiG zunächst entspannt entgegensehen - vorausgesetzt, die ENISA beschließt nicht doch völlig Neues. Anschließend werden den Mitgliedern sechs Monate eingeräumt, um KRITIS-Unternehmen zu definieren und zu ermitteln.

Nicht alles ist regulierbar

Diese Festlegung kann nur in Eigenregie erfolgen. Denn einige Punkte sind durch NIS gar nicht regulierbar. Das Werk kann unter anderem keine absoluten Zahlen europaweit definieren. Zum Beispiel die Reichweite von 500.000 Bürgern, welche die deutsche KRITIS-Verordnung als Merkmal für KRITIS-Unternehmen in der ersten Stufe festlegt. In Ländern mit geringerer beziehungsweise geballterer Bevölkerungsdichte macht solch eine Zahl keinen Sinn.

Wichtig dagegen ist zu beschließen, dass die landeseigene Definition der Spezifika für kritische Infrastrukturen überwacht oder zumindest gegengeprüft wird. Das ist noch nicht vorgesehen. Jedoch soll durch NIS der Schutz von IT-Infrastrukturen nicht mehr nur dem Eigeninteresse der Länder dienen.

Der Fokus rückt auf den der Schutz Europas als Bündnis, weshalb den Ländern im Konsens festgelegte Richtlinien zu allen wesentlichen Aspekten an die Hand gegeben werden müssen. Die Festlegung, kritische Infrastrukturen zu kontrollieren, ist dabei ebenso entscheidend, wie die Umsetzung der Maßnahmen zum Schutz der IT.

Mein Fazit

Als Fazit bleibt daher: Im Rahmen ihrer Cyberstrategie drehen sich die Räder der EU derzeit schnell. Deutschland hat durch seine kluge Vorausarbeit dabei Zeit gewonnen. Wer in Deutschland bereits ein ISMS gemäß IT-SiG eingerichtet und gegebenenfalls zertifizieren lassen hat, kann zunächst durchatmen. Das wird voraussichtlich auch eine der Voraussetzungen von NIS sein.

Der Autor Robert Hellwig ist ISMS-Experte, zertifizierter ISO 27001 Lead Auditor und Senior Consultant bei der Securisk GmbH.
Der Autor Robert Hellwig ist ISMS-Experte, zertifizierter ISO 27001 Lead Auditor und Senior Consultant bei der Securisk GmbH. (Bild: Data Center Group)

Natürlich kann die ENISA bestimmte Inhalte anpassen, ändern oder neu hinzufügen. Da das IT-SiG jedoch als Vorbild für NIS gilt, werden das nach aktuellen Stand keine gravierenden Änderungen sein. Falls andere organisatorische oder technische Maßnahmen doch notwendig sein sollten, bleibt wahrscheinlich ein Gros der Voraussetzungen durch das IT-SiG erfüllt.

*Der Autor:

Robert Hellwig ist Senior Consultant und Prokurist bei Securisk. Das Unternehmen ist eine der fünf Töchter der international agierenden Data Center Group und Spezialist für Informationssicherheit, nicht nur in Rechenzentren. Im Auftrag seiner Kunden führt Securisk unter anderem Risikoanalysen und Beratungen durch.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44052726 / Services)