Die bevorstehenden umfassenderen EU-Cybersicherheitsanforderungen könnten auf Hindernisse in Form unzureichender finanzieller und personeller Kapazitäten stoßen, was in der Tschechischen Republik Befürchtungen wecken könnte, dass sie insbesondere privaten Unternehmen neue Kopfschmerzen bereiten könnten.
Das tschechische Innenministerium und die tschechische nationale Agentur für Cyber- und Informationssicherheit (NÚKIB) erlebten Mitte April massive Angriffe auf ihre Systeme. Auch die Websites einiger Regionalflughäfen und die mobile App des großen Bahnbetreibers waren in letzter Zeit mit Ausfällen konfrontiert.
Trotz der hohen Priorität wichtiger Institutionen in Bezug auf Cybersicherheit zeigen diese Vorfälle, dass sie immer noch anfällig für externe Angriffe sind.
Die bevorstehende EU-Cybersicherheitsrichtlinie – sogenannte NIS2 – soll die Widerstandsfähigkeit der EU-Länder verbessern. Es wird erwartet, dass strengere Überwachungs- und Durchsetzungsmaßnahmen eingeführt werden. Neue Regeln könnten jedoch eine ziemliche Herausforderung darstellen.
Die aktuelle NIS-Richtlinie hat die strengsten Cybersicherheitsregeln auf kritische Dienstleister angewendet – führende Unternehmen in den Bereichen Energie, Transport, Banken, Gesundheitswesen und Trinkwasserversorgung.
Die vorgeschlagene Aktualisierung der Rechtsvorschrift erweitert diesen Anwendungsbereich jedoch weiter. So müssen beispielsweise die öffentliche Verwaltung und kommunale Dienste, pharmazeutische Unternehmen, Labore, Kläranlagen und die bodengebundene Raumfahrtinfrastruktur höchste Sicherheitsstandards erfüllen.
Strenge Maßnahmen sollten von Postdiensten oder Chemie-, Lebensmittel- und Automobilherstellern angewendet werden. Die NIS2-Richtlinie würde auch diejenigen betreffen, die im digitalen Sektor tätig sind, wie z. B. Rechenzentren.
Sicherheitsstandards als Bürde
Der breitere Geltungsbereich der neuen europäischen Gesetzgebung zur Cybersicherheit gibt Anlass zu Bedenken in den Augen tschechischer Privatunternehmen, da das NIS2 ihren Unternehmen zusätzliche finanzielle und administrative Belastungen auferlegen wird. Dies gilt hauptsächlich für Unternehmen, die sich bisher nicht mit Cybersicherheitsverpflichtungen auseinandersetzen mussten.
„Wir müssen bedenken, dass nicht jedes Unternehmen über die finanziellen Ressourcen oder die personellen Kapazitäten verfügt, um spezielle Abteilungen für dieses Thema aufzubauen“, sagte Kateřina Kalužová, Leiterin der digitalen Wirtschaft beim Tschechischen Industrie- und Verkehrsverband (SPCR), gegenüber EURACTIV.cz.
Die Kosten und der Verwaltungsaufwand sollen laut SPCR so gering wie möglich sein, damit Unternehmen keine unnötigen Komplikationen erleiden. Unternehmen, die die Maßnahmen nicht ergreifen oder einhalten, könnten mit hohen Sanktionen von 2 % des Jahresumsatzes des Unternehmens oder 10 Millionen Euro rechnen.
„Das mag auf den ersten Blick übertrieben erscheinen, aber das sind Sektoren, die für das Funktionieren der Gesellschaft und der Wirtschaft unerlässlich sind. Bei wiederholten größeren Problemen, wie etwa der Missachtung von Richtlinien, muss das Bußgeld erheblich sein“, sagte der tschechische EU-Abgeordnete Evžen Tošenovský (ODS, ECR).
„Ich gehe davon aus, dass die Bußgeldobergrenze für die weniger kritischen Stellen gesenkt wird“, fügte er hinzu.
Die NIS2-Richtlinie wartet derzeit auf die erste Lesung im Europäischen Parlament. Laut Tošenovský wäre die Umsetzung nicht nur für Unternehmen, sondern auch für die für Cybersicherheit zuständigen nationalen Behörden eine Herausforderung.
„Es wird ein paar Jahre dauern, bis sich das gesamte Ökosystem etabliert“, sagte der tschechische Europaabgeordnete.
Die tschechische Wirtschaft bereitet sich vor
Tschechische Unternehmen sind sich der Risiken von Cyberangriffen bewusst und ergreifen Maßnahmen, um ihre Widerstandsfähigkeit zu verbessern.
Die letztjährige Meinungsumfrage des SPCR ergab, dass zwei Drittel der fast 100 befragten tschechischen Unternehmen das Risiko eines Cyberangriffs als die größte Bedrohung im digitalen Bereich ansehen. Mehr als 80 % von ihnen ergreifen Maßnahmen, um ihre eigenen Systeme und Computer zu sichern.
Laut Kalužová von SPCR ist die Aufklärung von Unternehmen über Cybersicherheit von entscheidender Bedeutung, insbesondere für diejenigen, die nicht hauptsächlich im Technologiesektor tätig sind, aber von der NIS2-Richtlinie betroffen wären.
„Eine der größten Cybersicherheitsbedrohungen befindet sich zwischen Stuhl und Tastatur – der Mensch. Deshalb ist es gut, dass mehr als die Hälfte der Unternehmen in unserer Umfrage ihre Mitarbeiter zum Thema Cybersicherheit geschult haben“, erklärte Kalužová.
„Jeder, der Zugang zum Firmennetzwerk oder ein Geschäftstelefon hat, sollte geschult werden“, fügte sie hinzu.
[Edited by Luca Bertuzzi]