Die neue europäische Cybersicherheits-Richtlinie NIS2 soll die Resilienz von Unternehmen steigern und die Reaktion auf Sicherheitsvorfälle verbessern. Auf dem Domain pulse in Wien diskutierten Vertreter aus der Politik, Registries und Registrare über die Umsetzung. Noch gibt es viele Bedenken in der Branche.

„Sie kommt, ob wir wollen oder nicht“, sagte Barbara Schloßbauer, Leiterin der nic.at Rechtsabteilung und Moderatorin des NIS2-Panels, über die neue EU-Richtlinie beim Domain pulse in Wien. NIS2 ist Teil der EU-Cybersicherheitsstrategie und soll die Richtlinie NIS1 aus dem Jahr 2016 ersetzen. „NIS1 hat die Cybersicherheit weit vorangebracht, es gab allerdings auch Defizite. Diese sollen nun kompensiert werden“, informierte Vinzenz Heußler, Policy Officer bei der Europäischen Kommission. Bis 17. Oktober 2024 haben die Mitgliedstaaten Zeit, die Richtlinie umzusetzen.

Auch kleinere Unternehmen fallen unter Richtlinie
Es gibt einige Neuerungen, die betroffene Unternehmen nun beachten müssen. Eine davon: „Cybersicherheit soll zur Chefsache werden, die Vorstände sollen die Umsetzung der Cybersicherheit überwachen“, so Vinzenz Heußler. Von NIS2 sind generell mittelgroße und große Unternehmen betroffen, die eine Schlüsselrolle für bestimmte Sektoren aufweisen. Allerdings wird im Bereich digitale Infrastruktur auch kleineren Unternehmen eine wichtige Rolle zugesprochen. Registries und Registrare fallen beispielsweise unabhängig von ihrer Größe unter die zukünftige Richtlinie. Arno Spiegel, für das nationale NIS2-Gesetz beim österreichischen Bundeskanzleramt verantwortlich, gab bei der Podiumsdiskussion in Wien einen Überblick: „Momentan sind von NIS1 ungefähr 180 Unternehmen in Österreich betroffen, ab Oktober sind es etwa 6.000.“ Dadurch wird der Anwendungsbereich in Österreich enorm ausgeweitet. Viele Firmen werden nun erstmals mit erhöhten Anforderungen hinsichtlich Informationssicherheit, Datenerfassung und Verifizierung konfrontiert.

„Nur das Minimum umsetzen“
Vor allem Artikel 28 der Richtlinie (Datenbank der Domänennamen-Registrierungsdaten) steht in der Kritik. Registries und Registrare werden verpflichtet, Datenbanken zu führen und Informationen wie Kontaktangaben von Domain-Inhabern im Einklang mit dem EU-Datenschutzrecht zu erfassen. Domain-Inhaber sollen so identifiziert werden können.

Robert Schischka, technischer Geschäftsführer von nic.at, hält Artikel 28 nicht für geeignet, Cyberkriminalität einzudämmen. Aus seiner Sicht ist die Identifizierungspflicht nicht erforderlich, um die Sicherheit und Stabilität des DNS zu gewährleisten: „Die Tätergruppen passen sich an die neuen Gegebenheiten an. Der Missbrauch von real existierenden Adressen wird zunehmen.“

Ein Punkt, der abschließend noch nicht geklärt ist, ist die Validierung der Nutzerdaten: Was muss verifiziert werden und wie kann man es umsetzen? Fritz Tupy, Managing Director von WebID Austria, beschrieb auf dem Domain pulse, wie ein Verifizierungsprozess an einen externen Dienstleister ausgelagert werden kann: „Wir führen eine Personenidentifikation durch. Das heißt, der Ausweis wird abgeglichen. Wir haben von 170 Ländern Reisepässe in den Datenbanken und können biometrische Abgleiche machen.“

Thomas Rickert, Anwalt mit Schwerpunkt Domainrecht, sagte mit Blick auf die nationalen Regelungen: „Ich habe Sorge, dass wir einen Flickenteppich an Regularien in Europa bekommen.“ Grenzüberschreitend arbeitende Registries und Registrare müssten sich 27 verschiedenen Regelungen anpassen. Rickert richtete sich deshalb mit einem Appell an die nationalen Gesetzgeber: „Bitte nur das Minimum umsetzen.“

Kleine Unternehmen werden benachteiligt
Zudem wird befürchtet, dass vor allem kleinere Unternehmen aufgrund des erhöhten Aufwandes keine DNS-Dienste mehr anbieten werden und so eine Marktkonsolidierung stattfinden wird. Georg Schönberger, Security-Spezialist beim Unternehmen Xortex ebusiness, bestätigte diese Befürchtung: „Wir wollen NIS2 umgehen. Wir werden die DNS-Server woanders hin verlagern und unser DNS-Management abgeben“, sagte Schönberger. „Das ist schade, denn wir sind operativ stark“, ergänzte Schönberger. Die Software-Firma beschäftigt 30 Mitarbeiter:innen und hat etwa 500 Domains auf ihren Servern liegen. Schönberger kritisierte, dass Dienstleistungen konsolidiert und Kleinunternehmen benachteiligt werden. Man treibe den Markt damit in Richtung der Großen, so der Security-Spezialist.

Vorbereitung auf Oktober 2024
Noch gibt es kein finales nationales Gesetz, viele Unternehmen bereiten sich dennoch so gut es geht auf die neuen Anforderungen vor. Franz Reischenböck, Geschäftsführer des Registrars LedI.net, gab folgende Einblicke: „Wir haben Mitarbeiter geschult, bei den Weiterbildungen setzen wir auf interne Ressourcen.“ Er warnte andere Unternehmen, NIS2 nicht auf die leichte Schulter zu nehmen: „Nehmt es ernst und plant Ressourcen ein. Am Ende müsst ihr die Strafen zahlen.“ Marco Hoffmann, Head of Domain Services der InterNetX GmbH, betonte: „Bei NIS2 versuchen wir, vor der Welle zu sein.“ Das Unternehmen verwaltet 3,8 Millionen Domains. Bei InterNetX sei man bereits dabei, sich mit Resellern abzusprechen, wer welche Daten zu liefern habe.

Die Registrierungsstelle nic.at plant für die Umsetzung der Richtlinie einen risikobasierten Ansatz. „Für uns war klar, dass wir in mehreren Kriterien von NIS2 betroffen sind“, sagte nic.at Geschäftsführer Schischka. „Wir wollen die Datensätze eruieren, die mit einer hohen Wahrscheinlichkeit Fehler oder Unvollständigkeiten aufweisen und genauer geprüft werden sollen.“

Kein behördliches Schreiben
Als DNS-Betreiber zu warten, bis ein entsprechendes Schreiben aus dem Bundeskanzleramt kommt, ist keine Option, wie Arno Spiegel betonte: „Es wird keinen Bescheid mehr geben.“ Bei NIS1 erhielten Unternehmen noch ein behördliches Schreiben. Das sei allein wegen der Vielzahl an betroffenen Unternehmen organisatorisch nicht mehr möglich, so Spiegel. Es ist also wichtig, dass Unternehmen sich selbst über die neue Cybersicherheits-Richtlinie informieren und sich entsprechend vorbereiten. Denn bei Nichteinhaltung der Vorgaben drohen empfindliche Strafen.

Foto (c) Anna Rauchenberger