Neues Cybersicherheitsgesetz könnte auf Kapazitätsmängel stoßen

Strenge Maßnahmen sollten auch von Postdiensten oder Chemie-, Lebensmittel- und Automobilherstellern angewendet werden. Die NIS2-Richtlinie würde sich auch auf Unternehmen im digitalen Bereich auswirken, etwa auf Rechenzentren.  [EPA-EFE/SASCHA STEINBACH]

Die bevorstehenden erweiterten EU-Anforderungen an die Cybersicherheit könnten auf Hindernisse in Form unzureichender finanzieller und personeller Kapazitäten stoßen, was in Tschechien die Befürchtung aufkommen lässt, dass sie vor allem Privatunternehmen neues Kopfzerbrechen bereiten könnten.

Das tschechische Innenministerium und die tschechische Nationale Agentur für Cyber- und Informationssicherheit (NÚKIB) waren Mitte April massiven Angriffen auf ihre Systeme ausgesetzt. Auch die Websites einiger regionaler Flughäfen und die mobile App des größten Bahnbetreibers des Landes fielen kürzlich aus.

Trotz der Priorität, die wichtige Institutionen der Cybersicherheit einräumen, zeigen diese Vorfälle, dass sie immer noch anfällig für externe Angriffe sind.

Die bevorstehende EU-Richtlinie zur Cybersicherheit – die so genannte NIS2-Richtline – soll die Widerstandsfähigkeit der EU-Mitgliedstaaten verbessern. Es wird erwartet, dass strengere Überwachungsmaßnahmen und eine bessere Durchsetzung eingeführt werden. Allerdings könnten die neuen Vorschriften eine ziemliche Herausforderung darstellen.

Die derzeitige NIS-Richtlinie wendet die strengsten Cybersicherheitsregeln auf kritische Dienstleister an – führende Unternehmen in den Bereichen Energie, Verkehr, Banken, Gesundheitswesen und Trinkwasserversorgung.

Mit der vorgeschlagenen Überarbeitung der Rechtsvorschriften wird dieser Anwendungsbereich jedoch weiter ausgedehnt. So müssen beispielsweise die öffentliche Verwaltung und kommunale Dienste, Pharmaunternehmen, Laboratorien, Kläranlagen und bodengestützte Weltrauminfrastrukturen die höchsten Sicherheitsstandards erfüllen.

Strenge Maßnahmen sollten auch von Postdiensten oder Chemie-, Lebensmittel- und Automobilherstellern angewendet werden. Die NIS2-Richtlinie würde sich auch auf Unternehmen im digitalen Bereich auswirken, etwa auf Rechenzentren.

Sicherheitsstandards als Belastung 

Der breitere Anwendungsbereich der neuen europäischen Rechtsvorschriften zur Cybersicherheit gibt tschechischen Privatunternehmen Anlass zur Sorge, da die NIS2 zusätzliche finanzielle und administrative Belastungen für ihre Unternehmen mit sich bringen wird. Dies gilt vor allem für Unternehmen, die bisher noch keine Cybersicherheitsverpflichtungen zu erfüllen hatten.

„Wir dürfen nicht vergessen, dass nicht jedes Unternehmen über die finanziellen Mittel oder personellen Kapazitäten verfügt, um spezielle Abteilungen für dieses Thema einzurichten“, so Kateřina Kalužová, Managerin für digitale Wirtschaft beim tschechischen Industrie- und Verkehrsverband (SPCR), gegenüber EURACTIV.cz.

Dem SPCR zufolge sollten die Kosten und der Verwaltungsaufwand so gering wie möglich sein, damit die Unternehmen nicht mit unnötigen Komplikationen konfrontiert werden.

Unternehmen, die die Maßnahmen nicht annehmen oder einhalten, könnten mit hohen Sanktionen in Höhe von 2 Prozent des Jahresumsatzes des Unternehmens oder 10 Millionen Euro belegt werden.

„Dies mag auf den ersten Blick übertrieben erscheinen, aber es handelt sich hierbei um Sektoren, die für das Funktionieren der Gesellschaft und der Wirtschaft wesentlich sind. Im Falle wiederholter schwerwiegender Probleme, wie der Missachtung von Richtlinien, muss die Geldstrafe erheblich sein“, sagte der tschechische EU-Abgeordnete Evžen Tošenovský (ODS, EKR).

„Ich gehe davon aus, dass die Obergrenze der Bußgelder für die weniger kritischen Einrichtungen gesenkt wird“, fügte er hinzu.

Die NIS2-Richtlinie wartet derzeit auf die erste Lesung im Europäischen Parlament. Laut Tošenovský dürfte die Umsetzung nicht nur für Unternehmen, sondern auch für die für die Cybersicherheit zuständigen nationalen Behörden eine Herausforderung darstellen.

„Es wird ein paar Jahre dauern, bis sich das gesamte Ökosystem eingespielt hat“, sagte der tschechische Abgeordnete.

Die tschechische Wirtschaft bereitet sich vor

Tschechische Unternehmen sind sich der Risiken von Cyberangriffen bewusst und ergreifen entsprechende Maßnahmen, um ihre Widerstandsfähigkeit zu verbessern.

Eine im letzten Jahr vom SPCR durchgeführte Meinungsumfrage ergab, dass zwei Drittel der fast 100 befragten tschechischen Unternehmen das Risiko eines Cyberangriffs als die größte Bedrohung im digitalen Bereich ansehen. Mehr als 80 Prozent von ihnen unternehmen Schritte, um ihre eigenen Systeme und Computer zu sichern.

Laut Kalužová von SPCR ist die Aufklärung der Unternehmen über Cybersicherheit von entscheidender Bedeutung, insbesondere für diejenigen, die nicht hauptsächlich im Technologiesektor tätig sind, aber von der NIS2-Richtlinie betroffen wären.

„Eine der größten Bedrohungen für die Cybersicherheit sitzt zwischen Stuhl und Tastatur – der Mensch. Deshalb ist es gut, dass mehr als die Hälfte der Unternehmen in unserer Umfrage ihre Mitarbeiter in Sachen Cybersicherheit aufgeklärt haben“, erklärte Kalužová.

„Jeder, der Zugang zum Firmennetzwerk hat oder ein Geschäftstelefon besitzt, sollte darin geschult werden“, fügte sie hinzu.

[Bearbeitet von Luca Bertuzzi]

Subscribe to our newsletters

Subscribe