Mit der 40- oder sogar 50-fachen Erhöhung der Anzahl der von der ANSSI beaufsichtigten Einrichtungen in Frankreich bringt der Gesetzentwurf "Résilience" die Cybersicherheit in eine neue Dimension. NIS2 stellt somit einen großen Fortschritt dar, um das Sicherheitsniveau der als wesentlich eingestuften Einheiten zu erhöhen, aber auch um eine echte Cyber-Kultur im Wirtschaftsgefüge sehr weit zu verbreiten. Die Richtlinie trägt somit dazu bei, einen positiven Kreislauf hin zu einer sichereren digitalen Welt zu schaffen, die ein wesentlicher Hebel für Innovation ist. Die Reform wirft jedoch einige Fragen auf, die Cloud Temple bei seiner Anhörung vor der Commission Supérieure du Numérique et des Postes ausführlich erläutert hat.
Eine der ersten Klippen der Umsetzung von NIS2 im französischen Recht liegt in der Gefahr, dass sich die Vorschriften überlagern, was zu Trägheit bei den Akteuren führen würde, auf die der Text abzielt. Angesichts einer Vielzahl von Vorschriften wird die Lesbarkeit komplex, und Organisationen könnten versucht sein, ihre Initiativen zu bremsen, weil sie die zu erfüllenden Anforderungen nicht klar verstehen. Die Frage der im Gesetzentwurf zur Widerstandsfähigkeit erwähnten Zertifizierungen und Qualifikationen fügt eine weitere Schicht der Komplexität hinzu. Wie werden sich diese neuen Anforderungen in bestehende Regelungen wie das Militärprogrammierungsgesetz, die DSGVO, SecNumCloud oder die Standards PCI, HDS und ISO 27001 einfügen?
Erleichtern Sie den Nachweis der Konformität
Eine Reform in der Größenordnung von NIS2 hat Auswirkungen auf die gesamte Beziehung zwischen Kunden und digitalen Dienstleistern. Der administrative Prozess des Konformitätsnachweises ist für diese Entwicklung von entscheidender Bedeutung, da ein erhöhter Druck auf die Anbieter deren Arbeit erschweren könnte. So könnte die Notwendigkeit, die Sicherheit der Lieferkette zu gewährleisten, zu einem Übermaß an regulatorischer Konformität führen, mit Vertragsrevisionen, Audit-Anfragen und Sicherheitsfragebögen. Es liegt jedoch im Interesse aller, dass die digitalen Akteure ihre Zeit darauf verwenden, das Sicherheitsniveau ihrer Dienste zu erhöhen, anstatt zu demonstrieren, dass sie sicher sind. Um diese Klippen zu umschiffen, würde die Festlegung von Kriterien für die Konformitätsvermutung die Verfahren sowohl auf Anbieter- als auch auf Auftraggeberseite flüssiger gestalten. Ein wirksamer Ansatz wäre der Aufbau einer Konformitätsmatrix mit anerkannten Referenzsystemen und unbestreitbaren Konformitätsvermutungen, die durch Audits und zertifizierende Labels verstärkt werden.
Digitale Akteure zu Moderatoren der Reform machen
Eine weitere Frage betrifft den besonderen Status der digitalen Akteure, die Gegenstand eines europäischen Durchführungsrechtsakts sein werden, der noch nicht in Kraft getreten ist. Daher ist es zum jetzigen Zeitpunkt schwer zu erkennen, wie sie sich in das Regelwerk einfügen werden. Und das ist umso wichtiger, als es für den Erfolg dieser Reform entscheidend ist, die digitalen Akteure zu Trägern und Ermöglichern von Fortschritten im Cyberbereich zu machen, und nicht zu regulierten Einheiten wie alle anderen. Andernfalls wird die ANSSI bei der Erfüllung ihrer Aufgaben gegenüber den 12.000 bis 15.000 Organisationen in Frankreich auf sich allein gestellt sein. Die Fähigkeit der Cloud-Akteure, NIS2 einzuhalten und ihre Kunden wirksam zu unterstützen, wird jedoch vom endgültigen Inhalt des Vollstreckungsakts abhängen. Werden die Regeln an die Besonderheiten der Cloud angepasst, die eine geteilte Verantwortung und die gemeinsame Nutzung von Ressourcen mit sich bringt? Die rasche Veröffentlichung aller Texte ist entscheidend, um einen reibungslosen Übergang zu gewährleisten.
Meldung von Vorfällen: Wer macht was?
Die Meldung von Sicherheitsvorfällen ist ein weiterer kritischer Schwerpunkt des Resilienzgesetzes: Die Festlegung klarer Schweregrade, eindeutiger Fristen und die Bestimmung der für die Meldung zuständigen Behörde sind zentrale Elemente des Rahmens. Im Kontext der Dringlichkeit eines Cybervorfalls ist es entscheidend, über einen Melderahmen zu verfügen, der keinen Raum für Interpretationen lässt. Eine zu frühe oder zu späte Benachrichtigung kann konkrete Auswirkungen auf die Fähigkeit haben, die Krise zu lösen, insbesondere im Falle eines Cyberangriffs. Der Grundsatz der "schnellstmöglichen Benachrichtigung" muss erläutert werden, um Unsicherheiten in Krisensituationen zu vermeiden. Das bevorstehende Dekret über die Modalitäten der Meldung von Vorfällen muss daher Gegenstand einer Konsultation des Sektors sein, um pragmatische, realistische und für die betroffenen Akteure leicht umsetzbare Regeln festzulegen.
Unterstützung der Bemühungen um den Aufbau von Kompetenzen
Schließlich bleiben die Talente der Lebensnerv des Cyberkriegs. Mit der durch den Gesetzesentwurf "Resilienz" eingeleiteten Skalierung werden zahlreiche Unternehmen und Behörden, die noch keine Erfahrung mit Cybersicherheit haben, ihre Cybersicherheitsmaßnahmen beginnen, wobei die Rekrutierung von spezialisierten Talenten schwierig und teuer ist. Die Gewährleistung der Fähigkeit des Ökosystems der Cybersicherheit, sie zu begleiten, ist von grundlegender Bedeutung. Die Fristen der Anbieter für die Durchführung von Audits oder die Erbringung von Dienstleistungen können ebenfalls ein Hindernis darstellen. Der Staat muss eine entscheidende Rolle dabei spielen, Unternehmen und Organisationen bei der Einhaltung der Vorschriften zu unterstützen und gleichzeitig das Cyber-Ökosystem und die Bemühungen um die Ausbildung von Talenten zu fördern. Die eingerichteten Finanzierungsmechanismen werden von entscheidender Bedeutung sein, insbesondere für die 1.653 lokalen und regionalen Gebietskörperschaften, die von der Reform betroffen sind.
Die ANSSI hat es verstanden: Das Zuhören der Interessengruppen - und insbesondere der digitalen Akteure - ist eine unabdingbare Voraussetzung für den Erfolg von NIS2 in Frankreich. Die Sammlung der Bedürfnisse und Anmerkungen stellt einen pragmatischen Beitrag zum Gesetzentwurf dar, um ihn zu einem neuartigen Hebel für die Cybersicherheit in Frankreich und Europa zu machen. Die Anhörungen der Commission Supérieure du Numérique et des Postes nähren somit diesen iterativen Konsultationsprozess. Da die parlamentarische Agenda durch neue Wahltermine durcheinander gewirbelt wird und der Stichtag 17. Oktober näher rückt, ist es von entscheidender Bedeutung, dass diese Bemühungen um Ko-Konstruktion nicht auf dem Altar der legislativen Effizienz geopfert werden. Ein übereilt verabschiedetes Gesetz und Durchführungsdekrete wären ein schlechter Start für diese strukturierende Reform.