Dennis-Kenji Kipker: Alle Unternehmen, die von NIS 2 betroffen sind, werden verpflichtet sein, ein Risikomanagement im Bereich Cybersecurity zu betreiben.

NIS 2 bietet keinen abschließenden Katalog an Maßnahmen, weil die Bedrohungslage hoch volatil ist. Einerseits wird auf den "Stand der Technik" referenziert, andererseits wird aber auch gesagt, dass die Maßnahmen verhältnismäßig sein müssen. Das wird also unter eine Kosten-Nutzen-Abwägung gestellt. Und es wird in NIS 2 ein Mindestkatalog an Maßnahmen genannt, in Artikel 21, Absatz 2. Diesen Mindestkatalog übernimmt auch der deutsche Gesetzgeber.

Beim Attack Surface Management betrachtet man die Lage weniger aus der Perspektive defensiver Unternehmenssicherheit, sondern eher aus der Perspektive eines aktiven Angreifers. Weder NIS 2 noch das Umsetzungsgesetz schreiben vor, wie ich das Thema Risikomanagement angehen kann. Ich kann als Unternehmen also Attack Surface Management betreiben oder auch ein komplett eigenes Süppchen kochen. Wir fangen hier bei vielen Betrieben ganz am Anfang an. Deshalb wäre es überzogen zu sagen: Attack Surface Management ist State-of-the-Art-Technologie und ist das Ding, um NIS-2-compliant zu sein. Das halte ich für zu hoch gegriffen.

Prävention ist ein zentraler Aspekt von NIS 2. Die Richtlinie baut auf dem Grundsatz, dem Gedanken von Prävention auf. Das bedeutet zu schauen, was die Angriffsvektoren sind und dass ich, wenn ich doch mal kompromittiert werde, ein Notfallmanagement eingerichtet habe. Das umfasst letzten Endes auch sämtliche Maßnahmen des Risikomanagements. Unter dem Gesichtspunkt kann Attack Surface Management für manche Unternehmen interessant sein. Es ist aber keine gesetzlich geforderte Anforderung.

Wenn ich ein Risiko entdecke, bin ich als Unternehmen verpflichtet, darauf zu reagieren. Das steht nicht explizit in NIS 2, aber als Geschäftsführer bin ich immer verpflichtet, die erforderliche Sorgfalt beim Betrieb meines Unternehmens einzuhalten. Das finden wir aber auch schon zum Beispiel im GmbH-Gesetz.

NIS 2 differenziert nicht zwischen IT und OT. Ich muss beides cybersicher halten, und ich kann mich nicht darauf zurückziehen: Nur weil ich irgendwo vertragliche Pflichten habe oder vertragliche Rechte eingeräumt bekommen habe, halte ich meine Anlage unsicher. Andererseits laufen beim Industrial Internet of Things auch viele Wartungsverträge, die auch cybersicherheitsrelevante Patches adressieren. Die EU hat beschlossen, dass wir den Cyber Resilience Act bekommen werden. Das bedeutet, dass künftig Patch-Pflichten für Hersteller von Industrieanlagen im Hinblick auf Cybersicherheit bestehen, über die gesamte Lebensdauer einer solchen Anlage. Da werden also herstellerseitig ganz neue Anforderungen kommen.

Die Geschäftsleitung haftet in zweierlei Hinsicht: erstens im Sinne einer Wissenshaftung. Ich kann also nicht beliebig Cybersecurity als Aufgabe delegieren. Ich muss Entscheidungen, die ich zum Risikomanagement treffe, auch verstehen können. Zweitens besteht, wenn durch einen Cybersicherheitsvorfall wirtschaftliche Schäden wie etwa ein Betriebsausfall eintreten, die sogenannte Innenhaftung. Das heißt, die Gesellschaft kann an die Unternehmensleitung herantreten – oder auch einen leitenden IT-Verantwortlichen, das ist noch nicht richtig konkretisiert – und entstandene Schäden ihm gegenüber geltend machen. Bei Kritis-relevanten Diensten können Geschäftsleiter künftig sogar von ihren Pflichten enthoben werden. Das sind Maßnahmen, die bislang im Cybersicherheitsrecht unbekannt waren.