Kroatien gehört zu den Ersten in der EU, die NIS2 in die Gesetzgebung integrieren

Innerhalb der Europäischen Union wird Kroatien selten als Vorreiter in bestimmten Bereichen angesehen, kann jedoch derzeit damit prahlen, dass es zu den ersten Mitgliedstaaten gehört, die sich die Ärmel hochkrempeln und die strengen Anforderungen der europäischen NIS2-Richtlinie in Rekordzeit in nationales Recht umsetzen, indem sie das Cybersecurity-Gesetz verabschieden. Das Nationale Cybersecurity-Zentrum der Sicherheits- und Geheimdienstagentur (NCSC-HR) stellt fest, dass die meisten EU-Mitgliedstaaten noch keine nationalen Gesetze verabschiedet haben und somit mit der Umsetzung dieser Richtlinie noch nicht begonnen haben.

In Kroatien wird mit Inkrafttreten dieses Gesetzes im Februar 2024 die Kategorisierung von Schlüssel- und wichtigen Einrichtungen sowie deren Verpflichtungen zur Cybersicherheit festgelegt. Jahr für Jahr wird der Kreis der durch dieses Gesetz verpflichteten Einrichtungen erweitert, und kürzlich wurden auch die Zertifizierungsregeln für Cybersicherheitsaudits veröffentlicht. Dies ist ein Dokument, das festlegt, wer und unter welchen Bedingungen Cybersicherheitsaudits durchführen kann, was genau im Auditbericht enthalten sein muss und wie der gesamte Prozess zur Erlangung eines nationalen Sicherheitszertifikats aussieht.

Sicherheitszertifizierung

Mit anderen Worten hat die Sicherheitszertifizierung das eingeführt, was bisher gefehlt hat – Klarheit, sagt Marko Gulan, ein Cybersicherheitsberater und Direktor von Astera Advisory.

– Lange gab es ein Dilemma unter den verpflichteten Parteien des Cybersecurity-Gesetzes, wer tatsächlich die Audits durchführen wird: Einzelpersonen, Berater oder spezialisierte Unternehmen. Die neue Zertifizierung gibt darauf eine klare Antwort – Audits können von Unternehmen durchgeführt werden, die über Personen mit bestimmten Kompetenzen verfügen und einen strengen Validierungsprozess durchlaufen haben – betont Gulan.

Darüber hinaus müssen Auditoren ihre eigenen Tätigkeiten mit dem Gesetz in Einklang bringen und über ein hohes Maß an technischem Wissen verfügen sowie in der Lage sein, Risiken zu bewerten und zu verstehen, was es bedeutet, die Geschäftskontinuität sicherzustellen.

– Solche Anforderungen erhöhen die Seriosität, schaffen aber gleichzeitig den Eindruck von Einheitlichkeit, als würde ein sehr enger Rahmen gesetzt, in dem nur eine kleine Anzahl von Unternehmen in Kroatien die Kriterien erfüllen kann. Dies ist eine Botschaft an den Markt: Dies ist kein ‚zusätzlicher Service‘, den jemand nebenbei anbieten kann. Dies ist ein regulierter, hochspezialisierter Job, der nachgewiesene Expertise erfordert – erklärt Gulan.

Schlüsselunabhängigkeit

Der Zertifizierungsprozess wird von einem Unternehmen initiiert, das ein autorisierter Auditor werden möchte, und nach Erfüllung aller Bedingungen und Bestehen der Überprüfung wird es in ein öffentlich zugängliches Register eingetragen. Das Zertifikat ist drei Jahre gültig, und während dieses Zeitraums unterliegen Auditoren der Aufsicht der Agentur für Informationssysteme Sicherheit.

– Das Ziel der Zertifizierung ist es, klare und einheitliche Standards für Cybersicherheitsauditoren zu gewährleisten und das Vertrauen in ihre Arbeit zu erhöhen – erklärt NCSC-HR, die zentrale staatliche Stelle für Cybersicherheit.

Unabhängigkeit ist jedoch der Schlüssel zur Zertifizierung, merkt Krunoslav Čolak, Managementberater im Križ-Datenzentrum und Gründer des Cybersicherheitsunternehmens Melius Solutions, an.

– Ein Unternehmen, das Ihnen operative Sicherheitsdienste anbietet, kann nicht gleichzeitig Audits für Sie durchführen oder dies in den letzten beiden Auditzyklen getan haben. Audits werden ausschließlich von Mitarbeitern zertifizierter Managed Security Service Provider durchgeführt, gemäß einem vordefinierten Plan und einem standardisierten Bericht, der die Dokumentation und die tatsächliche Umsetzung von Maßnahmen separat bewertet, von der Multi-Faktor-Authentifizierung bis hin zu Backups und Schwachstellenmanagement – erklärt Čolak.

Neven Matas, Direktor für Cybersicherheit bei Infinum, betont, dass die Zertifizierung nicht nur die formale Einhaltung gewährleistet, sondern dass regelmäßige Aufsicht und Bewertungen die Sicherheit kontinuierlich verbessern.

– Die Zertifizierung bringt auch direkte geschäftliche Vorteile, da sie das Vertrauen unter Kunden und Partnern stärkt, Türen zu neuen Märkten öffnet und die Wettbewerbsfähigkeit erhöht – fügt Matas hinzu.

Antonija Vojnović, Leiterin der Abteilung Management, Risiko und Compliance bei Span, ist der Ansicht, dass die Erwartungen im gesamten Geschäftsecosystem folglich steigen werden. Sie erklärt, dass aufgrund der Zertifizierung ’sowohl Partner als auch Lieferanten unter Druck stehen werden, das Niveau der Cybersicherheit zu erhöhen‘.

– Daher wird, auch wenn nicht alle Organisationen zertifiziert werden, die Auswirkung dieses Prozesses auf die Sicherheitskultur und die Stärkung der digitalen Resilienz in Kroatien größer sein als der Umfang selbst – fügt Vojnović hinzu.

27974

Gute und schlechte Nachrichten

Sowohl Matas als auch Vojnović stellen fest, dass allgemein größere Unternehmen in Kroatien, insbesondere solche im Finanzsektor, eher bereit sind, sich an Veränderungen und neue Anforderungen im Zusammenhang mit Cybersicherheit anzupassen. Kleinere und mittelständische Unternehmen hingegen sehen sich jedoch weiterhin einem Mangel an Wissen, Ressourcen und qualifiziertem Personal gegenüber, die für ein systematisches Risikomanagement erforderlich sind.

– In kleineren und mittelständischen Unternehmen und Teilen des öffentlichen Sektors sind das Bewusstsein und das Niveau der angewandten Sicherheitsmaßnahmen noch nicht auf dem Niveau, das der gesetzliche Rahmen erfordert. NIS2 bringt strengere Anforderungen mit sich, von Risikomanagement und Vorfallberichterstattung bis hin zur Festlegung klarer Verfahren und Verantwortlichkeiten auf Managementebene – warnt Matas.

Beide sind sich jedoch einig, dass diese aktuellen Schwierigkeiten die Unternehmen dazu anregen werden, konkrete Schritte zu unternehmen und folglich ihre Betriebe besser abzusichern.

– In der Praxis bedeutet dies, dass viele Organisationen intensiv in Prozesse, Bildung und technische Lösungen investieren müssen, um die Einhaltung des Cybersecurity-Gesetzes zu erreichen. Der Übergang wird voraussichtlich herausfordernd, aber auch anregend sein, da er zur Stärkung des gesamten Niveaus der Cybersicherheitsresilienz im Land beitragen wird – glaubt Vojnović.

Čolak weist hingegen darauf hin, dass kleinere Unternehmen vor Herausforderungen stehen, die ein aktuelles Inventar von Vermögenswerten, das Management von Risiken in der Lieferkette und begrenzte Kapazitäten für die gleichzeitige Implementierung neuer Prozesse, Werkzeuge und Dokumentationen umfassen. Er fügt hinzu, dass die Organisationen kurzfristig mehr an der Bestandsaufnahme von Vermögenswerten, ordentlichen Aufzeichnungen und grundlegenden technischen Maßnahmen arbeiten werden, dies sich jedoch mittelfristig aufgrund weniger Vorfälle und schnellerer Wiederherstellung auszahlen wird.

Gulan betont, dass die größte Herausforderung darin besteht, das Management in den Compliance-Prozess einzubeziehen, da in der Praxis die Sicherheit immer noch zu oft in die IT-Abteilungen gedrängt wird. Die gute Nachricht ist, dass sich diese festgefahrenen Denkmuster in kroatischen Unternehmen ändern.

Tausende von Experten benötigt

Dennoch sind sich alle Experten einig, dass der Mangel an Personal im Bereich der Cybersicherheit derzeit das größte Problem für die digitale Resilienz ist, nicht nur in Kroatien, sondern auch in Europa und der Welt. Mihaela Trbojević, Mitglied des Vorstands bei Span, zitiert Forschungen der globalen Organisation für Cybersicherheitsexperten ISC2, die zeigen, dass weltweit etwa 4,8 Millionen solcher Experten im Jahr 2024 benötigt werden. Für Kroatien gibt es, wie sie anmerkt, keine spezifische Forschung, die genaue Zahlen liefern würde, aber es ist unbestreitbar, dass Kroatien ebenfalls mit einem ernsthaften Mangel an Experten konfrontiert ist.

– Obwohl es positive Entwicklungen zur Bewältigung dieses Problems gibt, wie Bachelor-Studiengänge und Mikroqualifikationen im Bereich der Cybersicherheit, ist die Kluft zwischen den Marktbedürfnissen und dem verfügbaren Personal nach wie vor groß – betont Trbojević.

Matas weist darauf hin, dass es einen Mangel an Experten für operative Sicherheit und Vorfallmanagement sowie an Spezialisten für Tests, Forensik und Sicherheitsarchitektur gibt.

– Angesichts der Schätzung der Europäischen Kommission, dass es in der EU einen Mangel von 260.000 bis 500.000 Cybersicherheitsexperten gibt, bedeutet dies, dass Kroatien im Verhältnis zu unserer Marktgröße ebenfalls einen Mangel von mehreren Hundert bis mehreren Tausend spezialisierten Fachkräften verzeichnet. Dies ist eine Folge der beschleunigten digitalen Entwicklung, der gestiegenen regulatorischen Anforderungen wie NIS2 und des globalen Trends steigender Nachfrage nach diesen Profilen – erklärt Matas.

Matas betrachtet den Wettbewerb um diese Talente als besonders herausfordernd, da er nicht nur auf lokaler Ebene stattfindet, da kroatische Experten leicht Möglichkeiten im Ausland finden, und heimische Unternehmen Schwierigkeiten haben, die gleichen Bedingungen wie globale Wettbewerber anzubieten. All dies, sagt er, kann die Umsetzung des Cybersecurity-Gesetzes erheblich verlangsamen, die von der Verfügbarkeit qualifizierter Personen abhängt, die Sicherheitsmaßnahmen entwerfen, implementieren und überwachen können.

– Wenn es nicht genug von diesen Personen gibt, besteht die reale Gefahr, dass Organisationen bei der Einhaltung zurückfallen oder dass Sicherheitsrichtlinien nur ‚auf dem Papier‘ bleiben, ohne tatsächliche Umsetzung. Daher ist es entscheidend, in Bildung, Zertifizierung und Personalentwicklung zu investieren, um sicherzustellen, dass genügend Experten vorhanden sind, die die Cybersicherheitsstandards implementieren und aufrechterhalten können – merkt Matas an.

27975

Nicht zögern

Gulan bestätigt, dass es einen Mangel an Experten auf dem Arbeitsmarkt gibt, merkt jedoch auch an, dass genügend Personen in spezialisierten Unternehmen und/oder als externe Berater beschäftigt sind, die anderen Unternehmen in der Cybersicherheit helfen können; es ist nur eine Frage, wie bereit die Unternehmen selbst sind, sie zu engagieren. Letztendlich benötigt nicht jedes Unternehmen einen internen CISO (Chief Information Security Officer) oder einen angestellten Sicherheitsdirektor.

– Die Umsetzung des Gesetzes selbst sollte nicht aufgrund eines Mangels an Experten verlangsamt werden; der Markt hat genügend Kapazitäten, um den Bedarf zu decken. Was wirklich verlangsamt, ist die Langsamkeit der Entscheidungsfindung auf Managementebene. Wenn heute nicht über Compliance und Resilienz gesprochen wird, dann wird es morgen sicherlich Diskussionen über Krisensituationen, Verluste und Notfallbudgetumverteilungen zur Behebung der Folgen geben. Mit anderen Worten, wir werden entweder rechtzeitig planen oder später teuer bezahlen – glaubt Gulan.

Seiner Erfahrung nach hält die Ausrede eines Personalmangels einfach nicht, da es genügend externe Experten auf dem Markt gibt.

– Das Problem sind nicht die Ressourcen; das Problem ist die Prokrastination. Die Frist bis April 2026 für die Umsetzung der Maßnahmen aus dem Gesetz rückt näher, und danach beginnt eine zweijährige Frist für Audits und Selbstbewertungen. Der Regulierer wird keine Rechtfertigungen verlangen, sondern Gründe für Untätigkeit – warnt Gulan, der die Lösung in einer zeitnahen Entscheidungsfindung sieht.

– Wenn Compliance heute auf den Tisch des Managements gelegt wird, gibt es genügend Zeit und Ressourcen, um den Prozess effektiv und systematisch durchzuführen – vermittelt er.

Matas fügt hinzu, dass die neuen Anforderungen als Chance für Wachstum und erhöhte Wettbewerbsfähigkeit betrachtet werden sollten. Andererseits erklärt das Nationale Cybersecurity-Zentrum, dass Prüfunternehmen die Prüfung sicherlich ‚als Geschäftsmöglichkeit für ihre eigene Profilierung im Bereich der Cybersicherheitsaudits‘ betrachten sollten, da dies auf EU-Ebene anerkannt wird.