Warum die Aktualisierung des britischen NIS-Systems für betroffene Organisationen Mehraufwand bedeuten könnte

Der Gesetzentwurf zur Cybersicherheit und Resilienz (CSRB) durchläuft weiterhin das parlamentarische Verfahren. Doch das Ende des langwierigen Gesetzgebungsprozesses rückt langsam in greifbare Nähe. Mit seinem Inkrafttreten wird der Gesetzentwurf die längst überfällige Aktualisierung der NIS-Verordnung 2018 bringen. Doch was geschieht mit britischen Organisationen, die bereits die überarbeitete EU-Verordnung NIS2 einhalten?

Obwohl es einige Bestrebungen gibt, die beiden Ansätze anzugleichen, bestehen auch zahlreiche Unterschiede. Von der Anzahl der berücksichtigten Sektoren bis hin zur Höhe potenzieller Bußgelder müssen Compliance-Teams jetzt damit beginnen, die Auswirkungen dieser Änderungen zu verstehen und sich auf einen potenziell erheblichen Mehraufwand einzustellen.

Wie sich CSRB von NIS2 unterscheidet

Um zu verstehen, wie stark sich CSRB von NIS2 unterscheidet, werfen Sie einen Blick auf die Zusammenfassung der Rechnung auf der Regierungswebsite. Die europäische Entsprechung wird dort überhaupt nicht erwähnt. Auch der Begriff „Angleichung“ taucht nicht auf. Konkret gibt es für die Compliance-Teams mehrere Bereiche, die sie prüfen sollten:

Regulierte Unternehmen: Anwendungsbereich

Das Vereinigte Königreich konzentriert sich auf Betreiber essenzieller Dienste (OES), relevante digitale Dienstanbieter (RDSPs) – darunter Cloud-, Such- und Marktplatzanbieter – sowie auf die neue Kategorie der relevanten Managed-Service-Anbieter (RMSPs). Im Gegensatz dazu werden im Rahmen der britischen CSRB-Richtlinie bestimmte OES benannt, während die NIS2-Richtlinie automatisch alle mittleren und großen Unternehmen in 18 Sektoren erfasst. Dies führt dazu, dass einige Organisationen, die unter die CSRB-Richtlinie fallen, der NIS2-Richtlinie entgehen und umgekehrt.

Regulierte Unternehmen: Neue Kategorien

Die CSRB führt lediglich eine neue OES-Kategorie „Rechenzentrumsdienste“ ein, während NIS2 mehrere umfasst: öffentliche Verwaltung, Raumfahrt, Abwasser, Lebensmittel, Fertigung, Postdienste, Abfallwirtschaft und digitale Anbieter. Dadurch ist es wahrscheinlicher, dass britische Organisationen, die nicht von der CSRB reguliert werden, unter NIS2 fallen.

MSPs:

RMSPs werden im CSRB als neue Kategorie eingeführt und von NIS2 als essentielle oder wichtige Einrichtungen eingestuft. Für die einzelnen Systeme können jedoch unterschiedliche Compliance-Anforderungen gelten.

Überwachung der Lieferkette:

In Großbritannien können „kritische Lieferanten“ von OESs, RDSPs und RMSPs von zuständigen Behörden und dem Information Commissioner’s Office (ICO) benannt werden und unterliegen der direkten Aufsicht. In NIS2 gibt es keine direkte regulatorische Aufsicht, aber alle betroffenen Unternehmen müssen die Risiken in ihrer Lieferkette bewerten.

Vorfalldefinitionen und Meldewesen:

Die Definition eines regulierten Vorfalls durch das CSRB wurde erweitert und umfasst nun auch Ereignisse, die „erhebliche Auswirkungen auf die Bereitstellung eines wesentlichen oder digitalen Dienstes haben können“ sowie „Vorfälle, die die Vertraulichkeit, Verfügbarkeit und Integrität eines Systems erheblich beeinträchtigen“. Die Bedeutung wird branchenspezifisch bewertet. Gemäß NIS2 gelten Vorfälle als solche, die Betriebsstörungen, finanzielle Verluste oder materielle/immaterielle Schäden bei Dritten verursachen. Dies bedeutet, dass die Meldeschwelle im Vereinigten Königreich/in der EU unterschiedlich sein kann.

Die Meldefristen – erste Meldung innerhalb von 24 Stunden nach Kenntniserlangung eines Vorfalls, dann vollständige Benachrichtigung innerhalb von 72 Stunden – sind jedoch in Großbritannien und der EU im Großen und Ganzen gleich.

Kundenbenachrichtigung:

Dies ist für Rechenzentrumsdienstleister, RDSPs und RMSPs in Großbritannien erforderlich. Je nach Auslegung der Richtlinie durch die Mitgliedstaaten können jedoch im Rahmen von NIS2 zusätzliche Anforderungen gelten.

Persönliche Haftung:

Dies ist im CSRB nicht geregelt, aber NIS2 führt eine erhebliche persönliche Verantwortung für das obere Management ein. Dazu gehören verpflichtende Schulungen für Führungskräfte und die persönliche Haftung bei Nichteinhaltung. Britische Organisationen, die NIS2 einhalten müssen, müssen die detaillierteren Governance-Anforderungen der EU-Richtlinien verstehen.

Strafen:

Im CSRB betragen die Standardstrafen entweder 10 Millionen Pfund oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist), die Höchststrafen können jedoch auf 17 Millionen Pfund bzw. 4 % ansteigen. NIS2 räumt den Mitgliedstaaten Spielraum bei der Festlegung dieser Strafen ein, sofern sie „wirksam, verhältnismäßig und abschreckend“ sind.

Anmeldung:

Gemäß CSRB müssen sich RMSPs und als OESs eingestufte Rechenzentrumsbetreiber registrieren. Im Rahmen von NIS2 müssen sich essentielle und wichtige Einrichtungen bei den zuständigen Behörden registrieren lassen; die Mitgliedstaaten legen jedoch die genaue Vorgehensweise fest. Letztendlich müssen britische Organisationen ihre jeweiligen Verpflichtungen separat prüfen.

Allgemeiner Ansatz:

Das CSRB räumt den zuständigen Behörden und dem ICO – unabhängig von der Art der regulierten Organisation – bedeutende neue Befugnisse zur Informationsbeschaffung ein. NIS2 ermöglicht wichtigen Unternehmen, von einem weniger strengen Verfahren zu profitieren.

Insgesamt ist das CSRB jedoch flexibler gestaltet als sein europäisches Pendant, sagt James Wong, Senior Associate im Tech & Digital-Team der globalen Anwaltskanzlei Clifford Chance.

„Die Regierung wird strategische Prioritäten und gezielte Vorgaben festlegen können, und die Regulierungsbehörden werden Unternehmen als ‚kritische Lieferanten‘ einstufen und sie damit direkt in den Geltungsbereich der Regelung einbeziehen können“, erklärt er gegenüber IO (ehemals ISMS.online). „Das Gesetz sieht außerdem einen Mechanismus für Verhaltenskodizes vor, der eine kontextbezogene Anpassung ermöglicht.“

Die Belastung durch die Einhaltung von Vorschriften wächst.

Wong argumentiert, dass die Komplexität der „lokalen Durchführungsgesetze“, der Sekundärgesetzgebung und die potenzielle Notwendigkeit, mit mehreren Regulierungsbehörden zusammenzuarbeiten, die Einhaltung der Vorschriften für Organisationen, die sowohl unter NIS2 als auch unter CSRB fallen, schwieriger machen.

Rhiannon Webster, Leiterin der Abteilung Cybersicherheit in Großbritannien bei der globalen Anwaltskanzlei Ashurst, fügt hinzu, dass der Brexit mit diesem Gesetzentwurf und dem Data Use and Access Act bereits spürbare Auswirkungen auf den Compliance-Aufwand britischer Unternehmen hat, die in Europa tätig sind.

„Es hat eine Weile gedauert, bis es so weit war, da die Datenschutz- und Cybersicherheitsgesetze im Vereinigten Königreich bisher lediglich eine Kopie ihrer EU-Vorgänger waren. Allerdings zeichnen sich einige kleine, aber bedeutsame Änderungen ab“, erklärt sie gegenüber IO.

„Obwohl Unternehmen versuchen können, beide Regelungen einheitlich zu erfüllen, indem sie den höchsten Standard in Großbritannien und Europa anwenden, dürfte dies kein wirtschaftlich sinnvoller Ansatz für die Einhaltung der Vorschriften sein. Unternehmen müssen daher die Unterschiede zwischen den Regelungen bei der Einführung von Compliance-Programmen und der Risikobewertung berücksichtigen.“

Erste Schritte

Webster fordert Organisationen dringend auf, zunächst zu prüfen, ob sie unter die Bestimmungen von NIS2 und dem entsprechenden britischen Äquivalent fallen.

„Sie werden vielleicht überrascht sein zu hören, dass wir im Falle von Sicherheitsvorfällen und der Einhaltung von Meldefristen oft Kunden haben, die sich nicht sicher sind, ob sie von NIS2 erfasst wurden, und dies erst im Falle eines Sicherheitsverstoßes herausfinden müssen, was alles andere als ideal ist“, erklärt sie.

„Die Einhaltung von Standards wie ISO 27001 kann dazu beitragen, dass Ihre Informationssicherheitsanforderungen verhältnismäßig sind.“."

Wong von Clifford Chance erklärt, dass ein „einheitliches Cyber-Readiness-Programm, das auf alle relevanten rechtlichen und regulatorischen Anforderungen abgestimmt ist“, das Hauptziel für Compliance-Teams sein sollte.

„Die Nutzung etablierter Rahmenwerke wie ISO 27001 kann die Einhaltung von Vorschriften vereinfachen und die Darstellung von Kernpraktiken in verschiedenen Rechtsordnungen erleichtern. Solche Rahmenwerke bieten eine Struktur, auf der aufgebaut werden kann, stellen aber nur eine Basis dar und müssen an die jeweiligen lokalen Anforderungen angepasst werden“, fügt er hinzu. „Regelmäßige Überprüfungen gewährleisten, dass das Programm auch bei sich ändernden Anforderungen im Laufe der Zeit seinen Zweck erfüllt.“

Für komplexe Geschäftsabläufe, die sich über mehrere Rechtsordnungen erstrecken, gewinnen bewährte Verfahren noch mehr an Bedeutung, so Wong. Er verweist auf „proaktive Führung“, die Priorisierung von Risiken und Kontrollen, regelmäßige Planspielübungen, enge Beziehungen zur Lieferkette und die Bereitstellung der richtigen Werkzeuge.

Egal wie man es betrachtet, die Kosten für Geschäftstätigkeiten in Großbritannien und der EU werden steigen.

Erweitern Sie Ihr Wissen

Webinar: Meistern Sie die NIS 2-Konformität mit ISO 27001

Blog: Von NIS2 zum Cyber ​​Resilience Act: Die „Produktseite“ der Governance

Blog: Einmal entwickeln, überall konform sein: Das Multi-Framework-Compliance-Handbuch