CISO und DPO für NIS2 als getrennte Rollen definieren
Die Erwartungshaltung ist klar: Wenn die NIS2 Direktive nach dem 18. Oktober 2024 in nationales Recht überführt und in Kraft getreten ist, wird sie die Wahrnehmung von regulatorischer Compliance in den europäischen Mitgliedsstaaten nachhaltig positiv beeinflussen. Zum ersten Mal wird ausdrücklich eine Zusammenarbeit der EU-Staaten in Sachen Cybersicherheit gefördert. Die Notwendigkeit für robuste Sicherheitsprogramme rückt bis dahin in den Fokus der Geschäftsführung aller Organisationen, also CISO und DPO, nicht zuletzt auch durch die Androhung von Verwaltungsstrafen ähnlich der DSGVO. Darüber hinaus ermutigt sie die Mitgliedstaaten, ihre nationalen Cyber-Strategien zu verbessern.
Die Richtlinie fördert vor allem eine stärkere Harmonisierung der Sicherheitsanforderungen und der Meldepflichten innerhalb der EU. Hierfür wurde das EU-Netzwerk CyCLONe (European Cyber Crises Liaison Organization Network) eingerichtet. Diese hilft bei der Koordinierung der Offenlegung neuer Schwachstellen. Hier hilft auch die Einrichtung des EU CSIRTs Networks. Es wurde mit der NIS eingerichtet und mit der NIS2 weiter gestärkt. Sie soll zur Entwicklung von Vertrauen beitragen und eine rasche und wirksame operative Zusammenarbeit zwischen den Mitgliedstaaten zu fördern. Mitglieder sind die nationalstaatlichen Computer Security Incident Response Teams (CSIRT). Ein Austausch soll mindestens alle 18 Monate erfolgen.
Richtlinie stärkt Zusammenarbeit zwischen Rechtsabteilung und Informationssicherheit, zwischen CISO und DPO
Innerhalb der Organisationen stärkt die Richtlinie die Zusammenarbeit zwischen der Rechtsabteilung und der Informationssicherheit, also zwischen CISO und DPO. Sie verschärft die Sicherheitsanforderungen für Unternehmen durch die Durchsetzung eines Risikomanagement-Ansatzes. Dies geschieht nicht zuletzt durch die Bereitstellung einer Mindestliste grundlegender Sicherheitselemente, die angewendet werden müssen. Vor allem die Meldepflichten also das Reporting von Sicherheits- und Datenschutzverstößen wird klarer geregelt. Die präziseren Bestimmungen vereinfachen den Prozess bei der Meldung von Vorfällen, den Inhalt und den Zeitpunkt. Schließlich müssen Unternehmen nun 24 Stunden nach dem Vorfall eine erste Meldung an das BSI übermitteln, 72 Stunden später weitere Details und eine Analyse nachreichen sowie ein kompletter Bericht nach einem Monat anfertigen.
Eine weitere wichtige Entwicklung ist die Separierung der Rolle des CISOs von jener des Data Protection Officers (DPOs). Das Ziel der Richtlinie ist unter anderem den Reifegrad der Informationssicherheit aller involvierter Unternehmen zu steigern. Die Aufgabe des CISOs wird mehr in die Rolle eines Beraters der Geschäftsführung übergehen. Dadurch entsteht eine stärkere Verzahnung zwischen den Business-Anforderungen und der IT, zwischen CISO und DPO. Im besten Fall stärkt NIS2 die Bindung des Unternehmens an die jeweilige nationale Sicherheitsbehörde und sorgt für die Anpassung der bisherigen Sicherheitsstrategien und -praktiken an deren Vorgaben. Der DPO kommt hier ins Spiel, weil durch die NIS2- auch eine größere DSGVO-Konformität entsteht. Bereits nach dem Inkrafttreten der DSGVO wurden von Experten mehr als 28.000 DPOs weltweit ins Spiel gebracht. Problematisch ist, dass in zu vielen Organisationen die beiden Rollen des CISOs und DPOs von der gleichen Person ausgefüllt wurden. Dies muss sich für alle Unternehmen ändern, die nun unter die NIS2 fallen, denn die Aufgaben sind zu umfassend und die Verantwortung muss zwischen den beiden Positionen aufgeteilt werden. Sonst bleiben beide nur Kürzel.
Was Unternehmen dagegen tun können, erfahren Sie in einem Infobrief.