Unternehmen sollten nicht abwarten, was das cybersicherheitsgesetz ihnen vorschreibt

Tausende von inländischen Unternehmen werden nächstes Jahr von einem Gesetz betroffen sein, das festlegt, wie sie sich vor Cyberangriffen schützen müssen. Für Unternehmen, die ihrer Sicherheit bisher nicht viel Aufmerksamkeit geschenkt haben, könnte die Umsetzung der erforderlichen Maßnahmen sehr kostspielig sein. Es ist jedoch davon auszugehen, dass das Gesetz ein eher minimales Sicherheitsniveau darstellt, und die Unternehmen sollten in ihrem eigenen Interesse ihren Cyberschutz konsequenter betreiben. Sie sollten sich langfristig für den Cyberschutz engagieren; eine einmalige Investition reicht nicht aus.

Insbesondere die staatliche Verwaltung, das Gesundheitswesen und mittelständische Unternehmen in tschechischem Besitz warten oft auf das konkrete Gesetzeskonzept des Cybersicherheitsgesetzes und wissen gar nicht, ob die Verpflichtung auch für sie gelten wird. Auf jeden Fall sollten sich auch diese Einrichtungen vor Hackerangriffen schützen, und zwar jetzt. Ohne angemessene Sicherheitsmaßnahmen drohen ihnen im Falle eines erfolgreichen Cyberangriffs finanzielle Verluste in Millionenhöhe und möglicherweise sogar Reputationsprobleme.

Die rechtliche Verpflichtung wird sich auf die europäische Richtlinie NIS2 stützen, zu deren Verabschiedung sich die Tschechische Republik zusammen mit anderen EU-Mitgliedstaaten bis spätestens 17. Oktober dieses Jahres im Rahmen des künftigen Gesetzes zur Cybersicherheit verpflichtet hat. Es ist jedoch bereits klar, dass das Gesetz frühestens im Januar 2025 in Kraft treten wird.

Die Verabschiedung des Gesetzes wird sich auch deshalb verzögern, weil der Legislativrat der Regierung Anfang April den Gesetzentwurf mit Anmerkungen zur Überarbeitung an das Nationale Büro für Cyber- und Informationssicherheit (NUCSIS) zurückgegeben hat. Es wird erwartet, dass eine Reihe von Details des Gesetzentwurfs geändert werden, aber die wichtigsten Verpflichtungen für Unternehmen bleiben unverändert und sollten daher bereits vorläufig berücksichtigt werden. Insgesamt wird das Gesetz mindestens sechstausend Unternehmen betreffen, und je nach den Parametern kann die Zahl sogar doppelt so hoch sein.

Für Unternehmen bedeutet die neue Verpflichtung, dass sie zunächst Dokumente erstellen müssen, in denen die Verfahren und Verhaltensweisen der Organisation im Einklang mit dem neuen Cybersicherheitsgesetz festgelegt sind. Es wird mit Ausgaben in der Größenordnung von Hunderttausenden von Kronen gerechnet. Der zweite Schritt wird die Einführung technischer Sicherheitsmaßnahmen sein. Wenn das Unternehmen noch keine technischen Maßnahmen eingeführt hat, können die Kosten im höheren Bereich von Hunderttausenden bis zu einigen Millionen Kronen liegen. Hinzu kommt die spätere Unterstützung dieser Technologien in den folgenden Jahren ihres Betriebs. Die Unternehmen sollten darauf achten, den aktiven Schutz und die notwendigen Finanzmittel langfristig aufrechtzuerhalten. Es kommt vor, dass sie zwar die Verfahren und Unterlagen in Ordnung haben, die tatsächliche Praxis aber hinterherhinkt, was das Unternehmen unnötig in Gefahr bringt.
Sobald die Unternehmen ihren Schutz eingerichtet haben, sollten sie ihre Widerstandsfähigkeit gegen Angriffe testen - entweder durch externe Schwachstellentests oder Penetrationstests. Gleichzeitig sollten die Unternehmen ihre kritischen Systeme überprüfen, um festzustellen, welche Anbieter sie haben, wie sicher sie sind und welche Risiken bei ihren Anbietern bestehen.

Cyberangriffe werden immer komplexer und heimtückischer, so dass es für Unternehmen unerlässlich ist, sich über aktuelle Trends zu informieren, um sich zu schützen und ihre Mitarbeiter entsprechend zu schulen. Eine relativ neue Entwicklung ist das Abgreifen sensibler Daten nicht mehr durch breit gefächertes und relativ wahlloses Spamming, sondern durch gezielte Angriffe auf einen bestimmten Mitarbeiter. Bei dieser als Spear-Phishing bezeichneten Methode werden die Personen ins Visier genommen, deren Daten am wertvollsten sind und an die die Angreifer eine maßgeschneiderte Nachricht senden, um die Erfolgswahrscheinlichkeit zu erhöhen und die benötigten Daten zu erlangen.

tomas.kubicek@bdo.cz