Cybersicherheit: IDW zur Umsetzung der NIS-2-Richtlinie
Die 2023 in Kraft getretene Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie) sieht rechtliche Maßnahmen vor, um das Gesamtniveau der Cybersicherheit in der EU zu erhöhen. Das IDW hat eine Stellungnahme zu dem vom Bundesministerium des Innern und für Heimat (BMI) vorgelegten Diskussionspapier für wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland abgegeben.
NIS 2 aktualisiert die seit 2016 bestehenden Cybersicherheitsvorschriften der EU und verbessert durch die Ausweitung des Anwendungsbereichs auf neue Sektoren und Einrichtungen die Resilienz- und Reaktionskapazitäten öffentlicher und privater Stellen, der zuständigen Behörden und der EU insgesamt.
Betreiber kritischer Anlagen sind derzeit bereits verpflichtet, die Einhaltung der vorgeschriebenen technischen und organisatorischen Maßnahmen nachzuweisen. Dies wird von Wirtschaftsprüfern nach IDW PH 9.860.2 regelmäßig geprüft. Das IDW regt in seiner Stellungnahme an, diese Pflicht auf besonders wichtige Einrichtungen auszuweiten, um eine flächendeckende Steigerung des Sicherheitsniveaus in der deutschen Wirtschaft zu erreichen. Denn die Nachweispflicht ist laut IDW ein wesentlicher qualitätsbestimmender Faktor zur nachhaltigen Steigerung der Resilienz der besonders wichtigen Einrichtungen.
Weiterhin spricht sich das IDW dafür aus, den Nachweiszeitraum entsprechend der aktuellen Rechtslage für Betreiber kritischer Anlagen bei zwei Jahren zu belassen. Damit wird der Gefahr begegnet, dass bestehende Cyberrisiken aufgrund unzureichender Maßnahmen durch externe Prüfungen zu spät erkannt bzw. behoben werden. Das IDW schlägt vor, auch die Regelung zum Übergangszeitraum entsprechend anzupassen.
Das IDW hat am Werkstattgespräch zum Diskussionspapier am 26.10.2023 teilgenommen und die Gelegenheit genutzt, auf diese Aspekte noch einmal hinzuweisen.