Stärkung der Cyberresilienz durch Schulungen der Geschäftsleitung besonders wichtiger und wichtiger

Page 1

STELLUNGNAHME | DIGITALPOLITIK | CYBERSICHERHEIT

Stärkung der Cyberresilienz durch Schulungen der Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen

Ausgestaltungsvorschläge zu § 38 (3) NIS2UmsuCG

April 2025

Executive Summary

Der volkswirtschaftliche Gesamtschaden durch Cyberkriminalität ist im Jahr 2024 auf 178,6 Milliarden Euro und damit um mehr als 20 Prozent im Vergleich zum Vorjahr gestiegen Zur Stärkung der Cyberresilienz Deutschlands ist ein ganzheitlicher Ansatz erforderlich, der technologische, organisatorische und mitarbeiterbezogene Maßnahmen umfasst. Die in § 38 des Gesetzentwurfs für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG vom 02 10.2024) festgelegten Umsetzungs-, Überwachungs- und Schulungspflichten für Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen unterstützt die deutsche Industrie daher im Grundsatz. Angesichts der aktuellen Bedrohungslage ist es zum Schutz der einzelnen Unternehmen und der Industrie notwendig, die Verantwortung für das Risikomanagement auf C-Level anzusiedeln Denn: Cybersicherheit ist Chefsache.

Empfehlungen

Die deutsche Industrie begrüßt ausdrücklich, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Bedarfe der Industrie bei der Umsetzung der Anforderungen von § 38 Abs. 3 konsultiert. Bei der Umsetzung der Anforderungen aus dem NIS2UmsuCG muss zwingend die Heterogenität der vom Gesetz betroffenen Unternehmen berücksichtigt werden. Um praxisnahe und möglichst unbürokratische Anforderungen zu erzielen, sollte das BSI folgende fünf Maßnahmen umsetzen:

▪ Orientierungshilfe des BSI: Damit Unternehmen bei der Durchführung von Schulungen ein hohes Maß an Planungs- und Rechtssicherheit haben, sollte das BSI eine Orientierungshilfe zur Ausrichtung entsprechender Schulungen entwickeln. Dies würde zudem ein gewisses Maß an Vergleichbarkeit der vermittelten Schulungsinhalte bewirken

▪ Flexible Ausgestaltung: Die Schulungen müssen praxisnah und branchenspezifisch ausgestaltet werden. Eine Empfehlung für Rhythmus und Dauer sollte ausgesprochen werden Die konkrete Umsetzung sollte den Unternehmen jedoch überlassen werden. E-Learning muss möglich sein.

▪ Unbürokratische Umsetzung: Die Implementierung muss unkompliziert und ohne großen bürokratischen Aufwand für Unternehmen möglich sein.

▪ Funktions- und kompetenzbezogene Schulungen: Eine klar definierte Abstufung der notwendigen Cybersecurity-Kompetenzen für unterschiedliche Funktions- und Hierarchieebenen in Unternehmen gemäß § 30 Abs. 2 Nr. 7 und § 38 Abs.3 sollte eingeführt werden

▪ Europaweit einheitliche Anforderungen: Deutschland sollte keine über die europäische Mindestharmonisierung hinausgehenden Anforderungen stellen

Die deutsche Industrie ist überzeugt, dass durch die Umsetzung praxisnaher und unbürokratischer Anforderungen an die Cybersecurity-Schulungen nach § 38 Abs. 3 NIS2UmsuCG von Geschäftsleitungen die Cyberresilienz Deutschlands nachhaltig gestärkt werden kann

Bundesverband der Deutschen Industrie e.V. | www.bdi.eu

Steven Heckler | Stellvertretender Abteilungsleiter Digitalisierung und Innovation | s.heckler@bdi.eu

Marten Kwast | Praktikant Digitalisierung und Innovation | m.kwast@bdi.eu

Im Detail: Empfehlungen der Industrie

Orientierungshilfe des BSI

Die deutsche Industrie würde es ausdrücklich begrüßen, wenn das BSI im Rahmen der Allianz für Cybersicherheit und dem Umsetzungsplan KRITIS (UP-KRITIS) gemeinsam mit Vertreterinnen und Vertretern von Wirtschaftsverbänden und Unternehmen Eckpunkte und einen Leitfaden für die groben Inhalte von Cybersicherheitsschulungen für Geschäftsleitungen entwickeln würde. Damit Unternehmen sicherstellen können, dass die durchgeführten Schulungsmaßnahmen die in § 38 (3) geforderten „ausreichenden Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik“ vermitteln, sind allgemeingültige Vorgaben wichtig, die Unternehmen dann in der detaillierten Ausgestaltung auf ihre unternehmensspezifischen Anforderungen anpassen können Dazu gehören zum Beispiel Kriterien für wirksame Schutzmaßnahmen. Es muss ein Rahmen geschaffen werden, der beschreibt, was die Inhalte und Methodiken einer entsprechenden Schulung sein sollen, damit eine Basis für die konkrete Schulungsausgestaltung besteht. Nur so kann der Industriestandort Deutschland branchenübergreifend risikoadäquat vor Cyberangriffen geschützt sowie die Vergleichbarkeit von Schulungen und die Vermittlung der notwendigen Kompetenzen gewährleistet werden, sofern dies angesichts der Heterogenität der betroffenen Unternehmen und ihrer Geschäftsleitungen möglich ist. Zu diesen Eckpunkten gehören unter anderem eine Indikation für die Dauer einer solchen Schulung und die darin zu vermittelnden Kompetenzen

Für die Umsetzbarkeit der Anforderungen an die Unternehmen sollte klargestellt werden, wie lange nach Beschluss des Gesetzes oder nach einem Führungswechsel im Unternehmen die Geschäftsleitung Zeit hat, die Vorgaben umzusetzen. Der BDI fordert eine Frist, die dem sehr heterogenen Anwendungsbereich des Gesetzes ebenso wie den typischen zeitlichen Verfügbarkeiten einer Geschäftsleitung Rechnung trägt.

Flexible inhaltliche und organisatorische Ausgestaltung

Der Gesetzesentwurf spricht von einer regelmäßigen Teilnahme an Schulungen für Geschäftsleitungen. Was genau mit „regelmäßig“ gemeint ist, kann der Gesetzesbegründung auf Seite 145 entnommen werden: „Als „regelmäßig“ im Sinne dieser Vorschrift gelten Schulungen, die mindestens alle 3 Jahre angeboten werden“. Eine Regelmäßigkeit von drei Jahren wird von den Mitgliedern des BDI begrüßt. Da die Schulungen nach § 38 (3) die Geschäftsleitung befähigen sollen, eine (Cyber-)Risikobewertung vorzunehmen – und nicht konkrete technische Cybersicherheitsmaßnahmen zu implementieren – sind Schulungen alle drei Jahre ausreichend.

Bei einem Turnus von drei Jahren ist allerdings zu berücksichtigen, dass Geschäftsleitungen häufig volle Terminkalender haben und daher der Zeitaufwand möglichst realisierbar sein sollte Bei der Berechnung des finanziellen Erfüllungsaufwandes in der Begründung zum aktuellen Gesetzesentwurf wird von einer durchschnittlichen Dauer von vier Stunden pro Schulung ausgegangen. Aufgrund des heterogenen Kenntnisstands zu Cybersicherheit der Geschäftsleitungen begrüßt der BDI, dass zwar eine Empfehlung gegeben, allerdings keine verbindlichen, allgemeingültigen zeitlichen Vorgaben gemacht werden und befürwortet eine diesbezüglich flexible Ausgestaltung. Dabei sollte es auch zulässig sein, weitere schulungsähnliche Formate (z. B. ad-hoc Schulungen und Simulationen) zu berücksichtigen. Die Anpassung der Inhalte und Schulungsmethoden (bspw. durch E-Learning-Formate) an die Schulungslandschaft und spezifische Sicherheitsanforderungen im jeweiligen Unternehmen muss möglich sein. Ziel muss sein, dass die Geschäftsleitung hinreichende methodische Kenntnisse erlangt, um die Risikoexposition gegenüber Cybergefahren der eigenen Organisation angemessen einschätzen und die durch die eigene Organisation ergriffenen Maßnahmen beurteilen zu können.

Jedes Unternehmen weist eine unterschiedliche Risikoexposition auf. Um dieser sowie den Vorkenntnissen der Geschäftsleitung bestmöglich Rechnung zu tragen, sollte es ferner möglich sein, die Schulung durch eine interne fachlich geeignete Mitarbeiterin / einen internen fachlich geeigneten Mitarbeiter, zum Beispiel den Chief Information Security Officer (CISO), durchführen zu lassen Dies hat den Vorteil, die Schulungsinhalte auf das eigene Unternehmen zuschneiden zu können und terminlich flexibler zu bleiben. Entlang der Leitplanken für die Schulungsinhalte gilt es, dementsprechend Freiräume bei der inhaltlichen Gestaltung der Schulungen zu ermöglichen. Schulungen müssen neben der grundlegenden Methodik zur Risikobewertung zwingend Branchenspezifika, Unternehmenscharakteristika, die konkrete Risikoexposition des einzelnen Unternehmens sowie Vorkenntnisse der Geschäftsleitungen berücksichtigen. Das wichtigste Ziel einer Cybersicherheitsschulung ist es, Risiken zu erkennen und zu bewerten.

Der Inhalt der Schulung für Geschäftsleitungen sollte dem Kompetenz- und Wissensbereich des Managements Rechnung tragen. Der Geschäftsleitung sollte in den Schulungen primär Methodikwissen über IT-Risikomanagement vermittelt werden Konkrete IT-Security-Kenntnisse sollten hingegen nicht Schulungsinhalt sein, da die Geschäftsleitung hierfür auf die Expertise eines externen Dienstleisters oder das CISO-Team setzen kann. Effektivität kann durch Anwendungsübungen erreicht werden. Dies kann z. B. die Simulation einer Gefahrensituation mit anschließender Risikobewertung und -bewältigung sein. Das konkrete Trainingsformat sollte jedoch frei wählbar bleiben, da es auch andere Formate gibt, die eine bessere Festigung des Wissens ermöglichen.

Eine möglichst unbürokratische Umsetzung

Nicht bürokratische Berichtspflichten, sondern die Umsetzung konkreter Präventionsmaßnahmen erhöhen die Cyberresilienz der deutschen Industrie. Laut der kürzlich veröffentlichten Allensbach-Umfrage halten es 82 Prozent der befragten Unternehmen mindestens für wichtig „bürokratische Berichtspflichten, z. B. im Bereich Nachhaltigkeit, Datenschutz oder Cybersicherheit zu lockern“, um die Innovationsfähigkeit Deutschlands zu verbessern. Dafür müssen zwingend die Rahmenbedingungen geschaffen werden

Das Nachhalten der Schulung sollte so unbürokratisch wie möglich erfolgen. Es bedarf keiner gesonderten Dokumentationspflichten. Dazu gehört auch, dass zum Beispiel keine nachweislich verpflichtenden Prüfungen gefordert werden Statt Formulare über Schulungsinhalte zu erstellen und unterzeichnen zu lassen, sollte die Geschäftsleitung den Fokus auf die Durchführung von Schulungen legen können.

Funktions- und kompetenzbezogene Schulungen

Die Stärkung der Cyberresilienz in Unternehmen ist eine Teamaufgabe, zu der alle Mitarbeitenden (einschließlich der Geschäftsleitung) ihren funktionsgruppenspezifischen Beitrag leisten müssen. Deshalb bedarf es einer differenzierten Betrachtung und Berücksichtigung der Unternehmensebenen und einer Klarstellung der Abstufung von Kompetenzen, um ganzheitliche Cybersicherheitsstandards zu schaffen. Bei der Entwicklung von Orientierungshilfen durch das BSI für die inhaltliche und methodische Ausgestaltung von Schulungen müssen die durch § 38 Abs. 3 und § 30 Abs. 2 Nr. 7 adressierten Personengruppen separat betrachtet werden.

Folgende vier zentrale Funktionsgruppen sollten unterschieden werden:

Mit Blick auf § 38 Abs. 3:

▪ Die Geschäftsleitung sollte sich mit der Risikoexposition des Unternehmens vertraut machen sowie die getroffenen Risikomanagementmaßnahmen überwachen.

Mit Blick auf § 30 Abs. 2 Nr. 7

▪ Das IT-Security-Team setzt sich fachspezifisch mit Einzelheiten und der genauen Ausgestaltung der IT-Sicherheit auseinander und adressiert dabei die Prävention, Detektion sowie Risikoanalysebewertung und -bearbeitung

▪ Auch Mitarbeitende von externen sowie internen IT-Dienstleistern müssen gemäß ihrer Rollen und Zugriffsrechte auf IT- und OT-Systeme geeignete Schulungen erhalten, um eine risikoadäquate Awareness für Cyberbedrohungen zu erhalten.

▪ Alle weiteren intern Mitarbeitende brauchen je nach Rolle, Aufgabenzuschnitt und Risikoexposition die nötige „Awareness“, also das Bewusstsein, wie man auf der eigenen Unternehmensebene die Cyberresilienz der Organisation stärken kann. Das BSI könnte unverbindliche Empfehlungen für konkrete Schulungsinhalte und -formate bereitstellen, die sich an aktuellen Cybersicherheitsbedrohungen orientieren. Dies würde insbesondere mittlere Unternehmen bei der Umsetzung der Anforderungen nach § 30 Abs. 2 Nr. 7 unterstützen. Zur Unterstützung der Mitarbeiterinnen und Mitarbeiter kann jedes Unternehmen zudem die IT-Notfallkarte des BSI1 nutzen.

Die deutsche Industrie begrüßt, dass die Beurteilung und Gewährleistung der Cybersicherheit in den Verantwortungsbereich der Geschäftsleitung fällt. Um die Sicherheit des gesamten Unternehmens zu gewährleisten, ist es wichtig, dass das C-Level eines Unternehmens beim Risikomanagement das Themenfeld Cybersicherheit berücksichtigt. Gleichwohl bedarf es aus unserer Sicht einer Klarstellung bezüglich der Möglichkeit zur Delegation der Umsetzung der Cyberrisikominimierungsmaßnahmen gemäß § 30 NIS2UmsuCG Während die Geschäftsleitung die Verantwortung trägt und in diesem Rahmen die Umsetzung überwacht, muss die konkrete Implementierung des Cyberrisikominimierungsmaßnahmen durch das CISO-Team oder einen externen Dienstleister erfolgen können. Die in § 38 Abs.1 enthaltene Anforderung, dass die Geschäftsleitung die zu ergreifenden Risikomanagementmaßnahmen umsetzt, ist weder sinnvoll noch praktikabel und geht über die in Artikel 20 (1) NIS2-Richtlinie hinaus (Richtlinie (EU) 2022/2555). Hier bedarf es einer eindeutigen und der jeweiligen Funktion entsprechenden Rollenzuschreibung.

Aus der Perspektive einer Konzernstruktur ist unklar, in welchem Umfang die Delegation von Verantwortlichkeiten auf Konzern- / Unternehmensangehörige im Zusammenhang mit der Einhaltung der Risikomanagementvorgaben zur IT-Sicherheit noch möglich ist. Üblicherweise erfolgt die Verteilung von Aufgaben im Zusammenhang mit der IT-Sicherheit auf einzelne Unternehmensabteilungen und damit korrespondierende Führungsfunktionen (auch unternehmensübergreifend innerhalb eines Konzerns; CISO o. ä.). Es muss zwingend weiterhin möglich sein, dass Cybersicherheitsmaßnahmen durch Dritte umgesetzt werden können. Aufgrund der großen Vielfalt an Unternehmensstrukturen, die die Anforderungen des § 38 (1) umsetzen müssen, sollte eine gewisse Delegationsfreiheit an die Führungsebenen unterhalb der Geschäftsleitung bestehen. Dies würde Rechtssicherheit schaffen und den Anforderungen aus der unternehmerischen Praxis Rechnung tragen

Europaweit einheitliche Anforderungen

Die EU-Mitgliedstaaten sollten – den Bürokratieabbauvorgaben der zweiten von-der-Leyen-Kommission folgend – einen EU-weit einheitlichen Rahmen basierend auf internationalen Standards für die Schulungen der Geschäftsleitungen etablieren. Dabei muss dem Territorialitätsprinzip des § 60 NIS2UmsuCG Rechnung getragen werden. Die Bundesregierung und das BSI sollten sich in der NIS-

1 BSI. IT-Notfallkarte „Verhalten bei IT-Notfällen“. Verfügbar über: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Unternehmen-allgemein/IT-Notfallkarte/ITNotfallkarte/it-notfallkarte_node.html

§ 38 (3) NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Kooperationsgruppe und gemeinsam mit der EU-Cybersicherheitsagentur ENISA für eine EU-weite Harmonisierung der Rahmenbedingungen für Cybersicherheitsschulungen von Geschäftsleitungen einsetzen

Andernfalls müssten Mitglieder der Geschäftsleitung womöglich in mehreren EU-Mitgliedstaaten Schulungen absolvieren. Dies würde ein unnötig hohes Level an Bürokratie, die die Handlungsfähigkeit der Unternehmen deutlich beeinträchtigt, schaffen Der deutsche Gesetzgeber muss zwingend die europäische NIS-2-Richtlinie ohne deutsches Gold-Plating implementieren. Denn auch umgekehrt ist es für Unternehmen, die sich in Deutschland ansiedeln, eine Hürde, wenn sich die Schulungslandschaft und die entsprechenden nationalen Anforderungen, von denen in anderen EU-Mitgliedstaaten unterscheiden. Zur Erfüllung der EU-weit geltenden Anforderungen sollte die Nutzung internationaler Standards gefördert und ermöglicht werden

Die Schaffung eines vergleichbaren Cybersicherheitsniveaus von Unternehmen innerhalb der EU wird die Resilienz europäischer Wertschöpfungsketten stärken. Durch die wirtschaftliche und technologische Vernetzung innerhalb der EU sind Versäumnisse in der Cybersicherheit jedes einzelnen Landes und jedes einzelnen Unternehmens eine Gefahr für seine europäischen Nachbarn und Partner. Es ist von herausgehobener Relevanz, dass die in § 30 NIS2UmsuCG festgelegten Risikominimierungsmaßnahmen, wie zum Beispiel Schulungen von Mitarbeitenden, so implementiert werden, dass mit effizientem Mitteleinsatz eine effektive Erhöhung des Cybersicherheitsniveaus erreicht wird.

Impressum

Bundesverband der Deutschen Industrie e.V. (BDI)

Breite Straße 29

10178 Berlin

www.bdi.eu

T: +49 30 2028-0

EU-Transparenzregister: 1771817758-48

Lobbyregister: R000534

Autoren

Marten Kwast

Praktikant Digitalisierung und Innovation

T: +49 30 2028-1418

m.kwast@bdi.eu

Steven Heckler

Stellvertretender Abteilungsleiter Digitalisierung und Innovation

T: +49 30 2028-1523

s.heckler@bdi.eu

BDI-Dokumentennummer: D2056

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.