NIS 2 für Finanzinstitute – Torschlusspanik oder solide vorbereitet?
Bis zum 17. Oktober 2024 soll NIS 2, nach derzeitigem Stand, in deutsches Recht umgesetzt werden. Wo stehen Unternehmen – rund vier Monate vor dem Datum – darüber sind sich diverse Umfragen derzeit ziemlich uneins. Bei Banken und Finanzdienstleistern hingegen herrscht Zuversicht.
von Dunja Koelwel
Laut einer Umfrage von eco, Dachverband der Digital- bzw. Internetwirtschaft in Deutschland (Website), haben ein Drittel der IT-Entscheider noch keine Maßnahmen getroffen, um die erhöhten Sicherheitsanforderungen durch NIS 2 zu erfüllen. Hingegen kam eine Umfrage von Zscaler (Website), Anbieter im Bereich Cybersicherheit, zu dem Ergebnis, dass 80 Prozent der europäischen IT-Führungskräfte zuversichtlich sind, dass ihre Organisationen die NIS 2-Anforderungen bis Oktober erfüllen. Kontroverser könnten also die Einschätzungen kaum sein.NIS 2 für Finanzinstitute – von Panik weit entfernt
Bei einer Blitzumfrage unter deutschen Finanzinstituten zeigt sich interessanterweise ein relativ entspanntes Bild: Dr. Holger Kumm, Bereichsleiter IT, DZ Bank erklärt beispielsweise
Wir decken NIS 2 durch die für Finanzinstitute geltende (und deutlich umfangreichere) DORA-Regulatorik ab.“
Die NIS2-Richtlinie, die unter den Namen „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ in nationales deutsches Recht überführt wird, ist seiner Aussage nach für die DZ Bank fachlich/inhaltlich daher nicht von hoher Relevanz. Für Finanzunternehmen, die kritische Infrastrukturen betreiben, gilt nämlich DORA als unmittelbar auf EU-Ebene wirksame Verordnung („lex specialis“). Dr. Holger Kumm: „Mit der Erfüllung von DORA erfüllen wir somit auch implizit die (wesentlichen) Anforderungen aus NIS 2. Lediglich die in NIS 2 genannte Einwertung als Betreiber einer kritischen Anlage und die Registrierungspflicht ist demnach relevant.“
Die DZ Bank beschäftigt sich intensiv mit der Umsetzung von DORA und wird auch die relevanten NIS-2-Anforderungen erfüllen beziehungsweise erfüllt sie in Teilen bereits heute.”
Ähnlich gelassen sieht es auch Marc Hildebrand, CISO ING Deutschland: „Wir sind überzeugt, die NIS-2-Anforderungen bis Oktober zu erfüllen. Als in Deutschland reguliertes, KRITIS-relevantes Finanzinstitut befolgen wir bereits viele der aus NIS 2 stammenden Vorgaben.“
Markus Niederreiner, CEO vom Versicherer Hiscox Deutschland, möchte sich anscheinend nicht ganz so tief in die Karten blicken lassen und hält sich bedeckter: „Es wird in der Praxis sicherlich herausfordernd werden, diese komplexe Richtlinie umzusetzen. Trotzdem begrüßen wir sie grundsätzlich, da sie zur Folge haben wird, dass sich eine Vielzahl von Unternehmen noch intensiver mit dem Thema Cyber-Resilienz beschäftigt.“
- Risikobewertungen und Formulierung von Sicherheitsrichtlinien für Informationssysteme
- Evaluierung der Wirksamkeit von Sicherheitsmaßnahmen durch festgelegte Richtlinien und Verfahren
- Anwendung von Kryptographie und Verschlüsselung
- Effiziente Bewältigung von Sicherheitsvorfällen
- Sichere Systembeschaffung, -entwicklung und -betrieb, einschließlich Protokollen zur Meldung von Sicherheitslücken
- Durchführung von Schulungen zur Cybersicherheit und Einhaltung von Praktiken der Cyberhygiene
- Sicherheitsverfahren für Mitarbeiter, die auf sensible Daten zugreifen
- Notfallpläne zur Aufrechterhaltung des Geschäftsbetriebs während und nach Cybervorfällen
- Multi-Faktor-Authentifizierung und Verschlüsselung für Sprach-, Video- und Textkommunikation
- Stärkung der Sicherheit in der Lieferkette zur Anpassung der Sicherheitsmaßnahmen an die Schwachstellen einzelne direkter Zulieferer
Der positive Nebeneffekt für ihn: Die Erhöhung der Cyber-Resilienz und des IT-Sicherheitsstandards wird die Versicherbarkeit von Cyber-Risiken langfristig erhöhen. „Und das ist auch gut so, denn wie beispielsweise der aktuelle Hiscox Cyber Readiness Report festgestellt hat, ist die Zahl von Unternehmen in Deutschland, die innerhalb von 12 Monaten Opfer mindestens eines Cyber-Angriffs wurde, 2023 im Vergleich zum Vorjahr wieder zweistellig gewachsen auf 58 Prozent“, so Markus Niederreiner.
Er führt weiter aus: „NIS 2 wird auch Geschäftsführer beim Thema Cyber-Resilienz und IT-Sicherheit stärker in die persönliche Haftung nehmen. Das wird den Effekt haben, dass diese wichtigen Themen stärker zur Chefsache und als Priorität vom Top-Management vorangetrieben werden.“
Aus der Richtlinie und der verschärften Haftung der Organmitglieder ergeben sich erweiterte Haftungsfragen bzw. -risiken im D&O-Bereich.”
Dies wird laut Hiscox-CEO verstärkt im kommenden Jahr Versicherer, aber auch beratende Maklerhäuser beschäftigen, um hier eine adäquate Absicherung der Privatvermögen der Geschäftsführer sicherzustellen. „Wir als Versicherer setzen bei den Themen Cyber & IT neben der Risikoprüfung auch auf technische Obliegenheiten und Mindestanforderungen, um die Versicherbarkeit unserer Kunden sicherzustellen. Die Umsetzung der NIS 2 wird daher sicher eine Rolle in der Risikoprüfung spielen.“
NIS 2 – ein Buch mit sieben Siegeln?
Aus der Zscaler-Umfrage ging weiter hervor, dass nur 53 Prozent der IT-Verantwortlichen glauben, dass ihre Teams die Anforderungen von NIS 2 vollständig verstehen. Hier sind Finanzdienstleister mit Blick auf die Mitarbeiter ähnlich skeptisch.
Marc Hildebrand, CISO ING Deutschland, meint beispielsweise: „Aufgrund der Komplexität solcher Themen braucht es spezialisierte Teams. Denn es ist nicht realistisch und auch nicht nötig, dass jeder Mitarbeitende alle regulatorischen Feinheiten bis ins letzte Detail kennt.“
Und auch Hiscox-CEO Markus Niederreiner sieht sich in der Pflicht: „Wie die technische Situation in den einzelnen Unternehmen aussieht, können wir nicht einschätzen. Aber jedes Unternehmen ist gut beraten, sich frühzeitig mit der Richtlinie und ihrer Umsetzung zu beschäftigen. Als Versicherer werden wir mit den Maklern und den Kunden zur gegebenen Zeit in den Dialog treten und unterstützen, wo wir können.“
Fazit
Auch wenn sich also die meisten Institute auf entsprechende Bedrohungen gut vorbereitet sehen, zählen Risiken bei Informations- und Kommunikationstechnologien (IKT) in den nächsten Jahren zu den größten Herausforderungen. Finanzinstitute tun also gut daran, sich auch weiterhin intensiv mit den Vorgaben zu befassen. dk
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/211941
Schreiben Sie einen Kommentar