Reality-Check zur Belastung der Wirtschaft des aktuellen Referentenentwurfs für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)
Im letzten Post wurde von mir die Belastung der Wirtschaft im aktuellen Referentenentwurf (RefE) transparent analysiert. Dabei hatte ich bewusst auf eine eigene Einschätzung der Zahlen bezüglich des Aufwands, der Anzahl, der Stundensätze etc. verzichtet.
Ich wurde von verschiedener Seite darauf angesprochen, dass die Zahlen zum Teil doch offensichtlich realitätsfremd sind. Daher will ich an dieser Stelle meine Einschätzung aus der Praxis nachholen und dagegenstellen.
Mein Fazit aus der Hochrechnung ist, dass die Belastung für ein durchschnittliches „wichtiges Unternehmen" fast 6x so hoch ist, wie im RefE angenommen. Die Analyse wird im Folgenden detailliert beschrieben, so dass sie von jedermann nachvollzogen werden kann.
Wrap-up aus meinem letzten Beitrag zum NIS-2 Referentenentwurf
Für die Berechnung bei einem „wichtigen Unternehmen" wird im Referentenentwurf von 10 Führungskräften und 200 Mitarbeitenden als Mittelwert ausgegangen. Die Gesamtkosten werden mit durchschnittlich 87 Tausend Euro abgeleitet, von denen der Hauptteil der Kosten auf die „Einführung und Anpassung digitaler Prozessabläufe“ entfällt.
Im Folgenden orientiere ich mich so weit wie möglich an einem solchen durchschnittlichen wichtigen Unternehmen.
Musterunternehmen
Mein Musterunternehmen heißt „myService GmbH“ und bietet Dienstleistungen an, die es zu einem wichtigen (aber keinem besonders wichtigen) Unternehmen klassifizieren. Die 200 Mitarbeitenden sind in 7 Teams strukturiert und 3 Personen sind mit der Unternehmensleitung betraut (CEO, CFO, CIO). Damit gibt es 10 Führungskräfte und 200 Mitarbeitende, wie im Durchschnitt des RefE angenommen. Das Unternehmen hat eine Zentrale und 3 weitere Büros in Deutschland. Die Mitarbeitenden arbeiten hybrid (Remote, Office).
Neben dem CIO gibt es 4 Personen in der IT. Der Datenschutzbeauftragte wird extern gestellt. Ein IT-Security Team gibt es heute nicht. Lediglich der CIO ist sensibilisiert für das Thema und hat sichergestellt, dass Basis-Sicherheitsfunktionen wie Firewall, Endpoint-Protection, Verschlüsselung und Backup/Restore professionell umgesetzt wurden. Schließlich will man nicht ungeschützt einer Ransom-Attacke zum Opfer fallen.
Ich denke, dass dies eines der Unternehmen ist, die im Referentenentwurf zu den typischen Unternehmen, aber nicht zu den 17% der bei Cybersecurity „gut aufgestellten“ Unternehmen zählen.
Hochrechnung der Kosten
Situationsanalyse
Um möglichst effizient zu einem konkreten Plan zu kommen, bietet sich bei unserem Unternehmen ein „Interner Audit“ mit professioneller externer Unterstützung an. Für den Aufwand kann man sich an ISO 27006 Tabelle B.1 orientieren. Der Aufwand für einen ISO 27001 Audit bei 176-275 Mitarbeitenden sollte demnach für den Auditor bei 14 Personentagen liegen. Der Aufwand im Unternehmen ist mindestens noch einmal so hoch. Realistisch ist eher der 2- bis 3-fache Aufwand im Unternehmen.
Anpassung digitaler Prozessabläufe
Der Referentenentwurf nimmt als Quelle für die Personal- und Sachkostenschätzung bei besonders wichtigen Unternehmen die Daten aus einer Befragung von Betreibern kritischer Infrastrukturen Ende 2020 zur Nachmessung des Erfüllungsaufwands zum Umsetzungsgesetz der EU-Richtlinie 2016/1148. Mangels verfügbarer Daten wird der Aufwand für wichtige Unternehmen als um 60% geringer angenommen. Dadurch kommen die 1.100 Stunden und 24 Tausend Euro Sachkosten zustande.
Das ist eine grobe Top-Down Abschätzung basierend auf Unternehmen mit nicht vergleichbaren Anfangsbedingungen und unrealistischen Annahmen.
In der Praxis können wir davon ausgehen, dass wir bei allen wichtigen und besonders wichtigen Unternehmen nicht um die Einführung eines Information Security Management Systems (ISMS) herumkommen. Der Umfang und die Ausprägung werden bei kleineren und weniger sensiblen (wichtigen) Unternehmen geringer ausfallen als bei besonders wichtigen oder kritischen Unternehmen. In der Praxis können wir davon ausgehen, dass die betroffenen wichtigen Unternehmen wie die myService GmbH in den meisten Fällen noch kein ISMS aufgebaut haben.
Wenn man sich mit erfahrenen Experten unterhält, wird man auf Erfahrungswerte treffen, die sagen, dass man 12 Monate für die Einführung rechnen muss. Das setzt voraus, dass man die volle Unterstützung aus dem Management bei Ressourcen, Aufmerksamkeit und Budget hat. Unter 6 Monaten für die Einführung ist bei dem von uns betrachteten Unternehmen nicht realistisch.
Rechnen wir mit 6 Monaten für das Einführungsprojekt und einer Besetzung mit einem externen Lead Implementer, einem internen Projektleiter und durchschnittlich 2-3 weiteren Mitarbeitenden im Projekt (Annahme in der Hochrechnung), dann ist das aus meiner Sicht eine absolute untere Grenze für die Budgetabschätzung in unserem Musterunternehmen. Realistisch sind eher 12 Monate und/oder ein deutlich stärkeres Team.
Weitere Kosten
Da der Referentenentwurf auch Schulung, Meldung und Registrierung detailliert aufschlüsselt, nehme ich an dieser Stelle auch zu diesen Positionen Stellung.
Empfohlen von LinkedIn
Schulung der Führungskräfte:
Evtl. wird ein Unternehmen 50% seiner (hier 10) Führungskräfte zu einer 4-stündigen Schulung mit einem Trainer schicken wie im Referentenentwurf angenommen. In der Praxis wird es aber so sein, dass die Führungskräfte bei der ISMS-Einführung aktiv eingebunden, mitgenommen und geschult werden. Die Management Reviews, Briefings und Abstimmungsgespräche entsprechen dann eher den 4-5 Tagen oder mehr, die im Referentenentwurf für eine Management-Schulung angedeutet werden. Und das für alle Führungskräfte mit dem Trainer / externen Lead Implementer. Die Annahme in der Berechnung sind 4 Tage für 10 Führungskräfte plus 1 Trainer.
Schulung der Mitarbeitenden:
Auch die Mitarbeitenden müssen zu 100% hinsichtlich der veränderten Prozesse geschult und mitgenommen werden. Hierbei wird neben der 1-stündigen einmaligen „Betankung“ ein Mehrfaches an Aufwand für die Veränderung und Überprüfung des Verhaltens vorgesehen. Nehmen wir minimal mal den gleichen Aufwand wie für die Betankung, d.h. insgesamt 2 Stunden für jeden Mitarbeitenden an.
Registrierungsprozess:
Bei der einmaligen Registrierung kann sich kein Unternehmen vorstellen, dass der gesamte Registrierungsprozess in 25 Minuten mit einem Stundensatz von 36,30 Euro (Annahme RefE) abgeschlossen werden kann. Das wird sicher mehrere Stunden unter Einbeziehung mehrerer Führungskräfte und Abteilungen sein. Ich rechne minimal mit je 4 Stunden in Fachabteilung und Management.
Meldung von Verdachtsfällen und Sicherheitsvorfällen:
Bei der Meldung von Verdachtsfällen und Sicherheitsvorfällen sieht es ähnlich unrealistisch aus. Da auch Verdachtsfälle gemeldet und verfolgt werden, rechne ich hier minimal mit einer Meldung im Monat, die 4 Stunden bei der operativen Behandlung und 2 Stunden im Management bindet.
Die Rechnung
In meiner Musterfirma gehe ich von einem Stundensatz von 150 Euro für den externen Auditor, Lead Implementer und Trainer aus. Für die internen Personalkosten habe ich vereinfachend 84 Tausend Euro als jährliche Vollkosten für die Mitarbeitenden und 162 Tausend Euro für die Führungskräfte inklusive des Managements angenommen. Das ergibt Stundensätze von 47,73 € bzw. 92,05 €.
Für den Sachkostenanteil habe ich den gleichen Prozentsatz wie im Referentenentwurf (41,7%) verwendet, da ich keine glaubwürdige Argumentation für einen anderen Prozentsatz habe.
Fazit
Aufwand fast 6x höher: Es ist erschreckend, wie stark die Hochrechnung von dem Referentenentwurf abweicht. Selbst wenn man von den oben beschriebenen optimistischen Annahmen ausgeht, summiert sich der Gesamtaufwand für ein mittleres wichtiges Unternehmen auf etwa 500 Tausend Euro. Das ist fast 6x so hoch wie in dem Referentenentwurf als Belastung für die Wirtschaft ausgewiesen und wird einige Unternehmen vor erhebliche finanzielle Probleme stellen.
Analyse nicht berücksichtigt: Eine Beurteilung der Ausgangslage wurde im Referentenentwurf nicht ausgewiesen. In Förderprojekten wie MID-Digitale Sicherheit (siehe früherer Artikel von mir) wurde das jedoch als Hauptaktivität zur Förderung identifiziert.
Hoher Schulungs- und Informationsaufwand: Bei der Schulung wird im RefE von einer kurzen „Betankung“ von Mitarbeitenden und Führungskräften ausgegangen. Das entspricht nicht im Ansatz dem Anspruch der NIS-2 Direktive.
Folgekosten wurden nicht betrachtet: In der Betrachtung wurden lediglich die Folgekosten der Meldung betrachtet; Dokumentation und ISMS sind aber Aktivitäten, die in wiederkehrende Personal- und Sachkosten münden.
Dieser Reality-Check verdeutlicht, dass die Belastung für die Wirtschaft erheblich unterschätzt wurde. Eine realistische Einschätzung der notwendigen Ressourcen und Kosten ist unerlässlich, um Unternehmen nicht zu überfordern und eine effektive Umsetzung der NIS-2 Richtlinie zu gewährleisten.
---
#NIS2 #Cybersecurity #Informationssicherheit #Unternehmenssicherheit #Digitalisierung #Wirtschaft #ITSecurity #ISMS #Compliance #Datenschutz #Management #