Mangel an Experten, geringe Ausbildung und schlechte Vorbereitung auf Cyber-Vorfälle. Dies ist nur ein Teil der Herausforderungen, die die Cybersicherheit mit sich bringt. Wir sprachen mit Štefan Pilar, Rechtsanwalt bei Bukovinský & Chlipala, über die Zukunft der Gesetzgebung in der Slowakei und auf europäischer Ebene im Allgemeinen.
Was sind also die legislativen Herausforderungen im KB-Bereich für 2022?
Die Gesetzgebung hat ihre angenehme Seite, nämlich die Vorhersehbarkeit. Wenn eine bestimmte Verordnung in Kraft tritt, haben die Adressaten genügend Zeit, sich mit ihrem Inhalt in Form eines Entwurfs vertraut zu machen. Ausgewählte Interessengruppen können den Verordnungsentwurf kommentieren. Im Falle der europäischen Gesetzgebung ist die Zeit wesentlich länger. Einige Verordnungen brauchen Jahre, um entwickelt zu werden. Viele Verordnungen räumen den Verpflichteten eine Übergangsfrist ein, in der sie Zeit haben, ihre Verpflichtungen umzusetzen und zu erfüllen.
Leider bleibt diese Berechenbarkeit oft ungenutzt. Wir leben in der Slowakei seit mehr als vier Jahren mit dem Cybersicherheitsgesetz und seine Übergangsfristen sind längst abgelaufen. Trotzdem gibt es in der Slowakei Unternehmen, die kaum oder gar nicht auf die Anforderungen dieses Gesetzes reagieren. Ehren Sie die Ausnahmen. Ich würde sogar zu sagen wagen, dass die Zahl solcher Unternehmen überwiegt; viele Cybersecurity-Auditoren würden das bestätigen können. Die abschließenden Prüfungsberichte bestätigen dies.
Die Herausforderungen sind also vielfältig. Ein Mangel an Experten, eine praktisch nicht vorhandene Ausbildung, ein geringes Bewusstsein, eine unzureichende Vorbereitung auf Cybersicherheitsvorfälle oder ein unzureichendes Verständnis des Zwecks und des Inhalts von Gesetzen, die den Schutz von Informationen vorschreiben. Diesen Zustand haben wir schon seit Jahren, und es werden sicherlich noch mehr kommen, zusammen mit unerkannten Herausforderungen.
Hat es also keinen Sinn, nach vorne zu schauen?
Das tut es auch, denn so sollte es standardmäßig funktionieren. Die Kenntnis der kommenden Gesetzgebung und ihrer neuen Anforderungen ist ein Muss. Aber daraus zu schließen, dass wir nur auf den Horizont schauen und auf die nächste Verordnung warten sollten, wäre nicht sehr richtig. In der Slowakei schulden wir noch immer eine Menge an Gesetzen, die bereits seit Jahren in Kraft sind, wie das bereits erwähnte Gesetz zur Cybersicherheit.
Welche Schulden haben Sie im Sinn?
Es kommt auf den Standpunkt an, oder darauf, wo man anfängt. Lassen Sie uns zunächst sagen, dass das Konzept der Cybersicherheit immer noch ein abstraktes Konzept ist. Am schlimmsten ist es selbst für diejenigen, die sich rechtlich gesehen damit befassen sollten. Viele sehen das Konzept und seinen Inhalt als eine weitere bürokratische Erfindung der Europäischen Union, als eine Belastung für die Wirtschaft oder als etwas, das überhaupt nicht gebraucht wird. Denn wer würde es noch angreifen? Auf der anderen Seite des Spektrums sehen andere das Konzept und seinen Inhalt als eine ausgezeichnete Marketing- und Geschäftsmöglichkeit. Aber Vorsicht, ihre Ergebnisse lassen oft die nötige Qualität vermissen.
Warum ist das so?
Dafür gibt es eine Reihe von Gründen, und die Frage der unzureichenden Einhaltung der Anforderungen des Cybersicherheitsgesetzes ist nicht schwarz-weiß. Es wäre falsch und unfair zu sagen, dass alles die Schuld der Adressaten dieser Verpflichtungen ist. Es ist wichtig zu erkennen, dass das Thema Cybersicherheit ein schwieriges Thema ist. Nicht nur in der Slowakei, sondern auf der ganzen Welt mangelt es an qualifizierten Experten. Wir dürfen uns nicht über dieses Ergebnis wundern, wenn es an ausreichender Sensibilisierung und Aufklärung mangelt oder wenn die Erklärung des Inhalts der neuen Gesetzgebung mit ihrem klaren Mehrwert schwach ist.
Was ist Ihrer Meinung nach die Lösung für diese Situation?
Es gibt auch mehrere Lösungen und die Meinungen über ihre Wirksamkeit gehen auseinander. Manche Menschen sind nicht an Sensibilisierung und Aufklärung interessiert, sondern bevorzugen Repression. Und es muss gesagt werden, dass letztere im Falle des Cybersecurity Acts nicht unbedeutend ist. Andere ziehen Sensibilisierung und Aufklärung den Bußgeldern vor. Vielleicht unkonventionell, aber als Jurist neige ich dazu, die Notwendigkeit der Sensibilisierung zu unterstreichen. Ein Bußgeld ist nämlich lediglich ein Zwangsmittel, vielleicht auch ein ‚Motivationsfaktor‘, aber einer, der eher negative Emotionen und Zwang darstellt als die Überzeugung von einem Nutzen. Die Bewusstseinsbildung ist ein Weg, das Wesentliche zu verstehen und zu der rationalen Überzeugung zu gelangen, dass ich etwas brauche oder will. Nicht weil ich es muss, sondern weil es wichtig ist. Bei der Cybersicherheit dreht sich alles um Menschen. Menschen, in diesem Zusammenhang Mitarbeiter, sind der größte und oft übersehene Wert. Und genau diese Menschen haben auch einen erheblichen Einfluss auf die Sicherheit. Unter Androhung von Sanktionen wird die handelnde Geschäftsleitung nicht viel unternehmen, solange die Mitarbeiter die Risiken nicht verstehen und nicht wissen, welche Werte sie schützen. Und das Gegenteil ist auch der Fall. Cybersicherheit hat ohne die Unterstützung der Führung eines Unternehmens keine Chance auf Erfolg.
Das sind also nicht die besten Aussichten.
Ich wollte nicht wieder völlig negativ sein. (Gelächter.) Und es muss gesagt werden, dass in diesem Bereich bereits eine Menge Arbeit geleistet wurde, und man kann nicht sofort und überall Ergebnisse erwarten. Ein typisches Beispiel ist die viel zitierte Bildung, die sicherlich ein langer Weg ist. Wichtig ist, dass wir endlich auf diesen Weg kommen.
Wenn wir die aktuelle Situation mit 2018 vergleichen, sind wir im Allgemeinen schon viel weiter. Jedes Jahr gibt es eine Reihe von Konferenzen, Seminaren und Schulungsveranstaltungen, bei denen wir ein gesteigertes Interesse und eine höhere Beteiligung feststellen. Auch in den Medien wird dem Thema Cybersicherheit mehr und mehr Platz eingeräumt. Sehr hilfreich für die Verbesserung der Situation sind auch die durchgeführten Audits, bei denen die Verpflichteten direkt mit der Realität konfrontiert werden. Und nicht zuletzt wird das Thema Cybersicherheit auch durch die derzeitige schlechte Sicherheitslage vorangetrieben.
Wir verzeichnen also auch positive Nachrichten. Und wie sieht es mit der Gesetzgebung und dem Jahr 2022 aus?
Im Hinblick auf die aktuelle Gesetzgebung und die alten Sünden wird es wichtig sein, die bei den Audits festgestellten Mängel angemessen zu beheben. Schließlich wissen wir aus den verfügbaren Informationen, dass der Prozentsatz der Einhaltung der Vorschriften überwiegend niedrig ist. Bis zum nächsten Audit, das idealerweise innerhalb der nächsten zwei Jahre stattfinden sollte, haben diese Stellen also noch viel zu tun. Es bleibt zu hoffen, dass sie diese Arbeit verantwortungsvoll und mit den richtigen Leuten in Angriff nehmen.
Und die neue Gesetzgebung? Wir können den Cybersecurity Act teilweise als neue Gesetzgebung betrachten. Auf der Ebene der Europäischen Union wird derzeit eine Reihe von Zertifizierungssystemen für Cybersicherheitsprodukte, -prozesse oder -dienste entwickelt. Erwähnenswert sind hier das fast abgeschlossene System für die Cloud – EUCS, die kommenden Systeme für 5G, HW, SW und Dienste. Diese Systeme werden anschließend in die nationalen Bedingungen übernommen, wobei die Zertifizierung von akkreditierten Stellen (in der Slowakei von der SNAS) durchgeführt wird. Die Zertifizierung könnte nicht nur dazu beitragen, sich in der großen Zahl der heute auf dem Markt erhältlichen Produkte und Dienstleistungen, auch wenn sie von geringer Qualität sind, besser zurechtzufinden, sondern auch den Prozess der öffentlichen Auftragsvergabe zu beschleunigen, wenn es darum geht, die Erfüllung der Teilnahmebedingungen seitens der Bieter zu bewerten.
Dann ist da noch die bevorstehende NIS-Richtlinie 2, d.h. die Gesetzgebung im Anschluss an die erste Richtlinie, der wir das slowakische Gesetz zur Cybersicherheit zu verdanken haben. Wenn die neue Richtlinie korrekt in unsere Rechtsordnung umgesetzt wird (wahrscheinlich in Form einer Änderung des Cybersicherheitsgesetzes), können wir eine Ausweitung der Sektoren und Teilsektoren, der Verpflichteten oder der Sicherheitsanforderungen erwarten.
Und es ist sicherlich erwähnenswert, dass das bevorstehende Gesetz über die Widerstandsfähigkeit gegenüber Cyberangriffen (Cyber Resilience Act) sowohl auf der durch die NIS-Richtlinie als auch auf dem Gesetz über Cybersicherheit eingeführten Regulierung aufbauen soll. Damit werden gemeinsame Cybersicherheitsregeln (Resilienz) für digitale Produkte und damit verbundene Dienstleistungen auf dem EU-Markt eingeführt.
Können wir auch in der Slowakei mit gesetzgeberischen Aktivitäten rechnen?
Auf der Ebene der Slowakischen Republik können wir im Jahr 2022 den Erlass eines Dekrets erwarten, das Wissensstandards für bestimmte Sicherheitsrollen (z.B. Cybersicherheitsmanager) festlegt, und vielleicht auch eine Änderung des Dekrets Nr. 362/2018 Slg., das den Wortlaut des Cybersicherheitsgesetzes von vor dem 1. August 2021 in Bezug auf die Bereiche widerspiegelt, für die Sicherheitsmaßnahmen getroffen werden.
Man könnte sagen, dass die Slowakei, insbesondere von der EU, mit einer relativ umfangreichen Gesetzgebung im Bereich der Cybersicherheit bedacht wird. Unternehmen, die nicht unter das heutige Gesetz zur Cybersicherheit fallen, aber in der neuen NIS 2-Richtlinie vorgesehen sind, sollten sich in Acht nehmen. Nach dem derzeitigen Stand des Vorschlags sind vor allem die Sektoren Energie (Wasserstoff), Abfallwirtschaft, verarbeitendes Gewerbe (z.B. Kraftfahrzeuge), Lebensmittelindustrie und Raumfahrt betroffen. Außerdem muss man sich darauf vorbereiten, dass die geplante Zertifizierung von Produkten, Prozessen oder Dienstleistungen im Bereich der Cybersicherheit zwar nicht verpflichtend sein soll, es aber nicht ausgeschlossen ist, dass die Zertifizierung eine Bedingung für die Teilnahme an bestimmten Arten von öffentlichen Ausschreibungen sein wird (das Cybersicherheitsgesetz lässt dies ausdrücklich zu).
Es gibt also viel zu tun, nicht nur in Bezug auf die bestehenden, sondern auch auf die zukünftigen Anforderungen an die Cybersicherheit. Cybersicherheit muss als ein kohärentes System von Regeln, Prozessen und Maßnahmen verstanden werden, um das zu schützen, was Organisationen am meisten wert sind. Ihre Vermögenswerte, ohne die weder sie noch die Gesellschaft oder der Staat funktionieren können. Und der Rest von uns wird weiterhin geduldig erklären, helfen und weitere Enthusiasten für dieses interessante und wichtige Thema suchen.
Das könnte Sie interessieren: Právna zodpovednosť pri cloude je zdieľaná.
