Das Cybersicherheitsgesetz ("ZKB"), gültig ab dem 1. November 2025, bringt neue Pflichten gemäß der NIS2-Richtlinie mit sich. Wenn Ihre Organisation eine regulierte Dienstleistung erbringt, müssen Sie diese innerhalb von 60 Tagen beim Nationalen Amt für Cyber- und Informationssicherheit ("NÚKIB") melden. Nach der Registrierung laufen Fristen für die Erfüllung weiterer Anforderungen; unter anderem müssen innerhalb eines Jahres Sicherheitsmaßnahmen eingeführt und eine Sicherheitsdokumentation erstellt werden.
Einer der ersten Schritte nach der Registrierung ist die Festlegung des sogenannten definierten Umfangs, also die Bestimmung, auf welche Vermögenswerte sich das Cybersicherheits-Managementsystem konzentrieren soll. Anders gesagt, es muss geklärt werden, was alles geschützt werden muss. Wenn der Umfang nicht festgelegt wird, geht das Gesetz davon aus, dass er die gesamte Organisation umfasst, was unnötig kosten- und zeitaufwändig ist.
Wie man den Umfang des Cybersicherheitsmanagements in der Praxis bestimmt
Das ZKB beschreibt drei einfache Schritte:
- Identifikation primärer Vermögenswerte: alles, was die wichtigsten Werte Ihrer Organisation darstellt, insbesondere Vermögenswerte, deren Verlust oder Beeinträchtigung Auswirkungen auf den Betrieb, die Funktionalität, den Zweck oder die Sicherheit der Organisation hätte (z. B. Schlüsseldienste, Produkte, Informationen).
- Ausschluss irrelevanter Vermögenswerte: Primäre Vermögenswerte, die für die Erbringung der regulierten Dienstleistung nicht erforderlich sind, werden aus dem Umfang ausgeschlossen.
- Bestimmung unterstützender Vermögenswerte: Für jeden verbleibenden primären Vermögenswert werden alle unterstützenden Vermögenswerte identifiziert, die dessen Betrieb aufrechterhalten (Systeme, Anwendungen, Technologien, Prozesse, Lieferanten, Dokumentation, Mitarbeiter).
Das Ergebnis ist eine Liste der Vermögenswerte, die für die Gewährleistung der jeweiligen regulierten Dienstleistung erforderlich sind und Ihren definierten Umfang des Cybersicherheitsmanagements bilden. Auf diesen Umfang beziehen sich dann alle weiteren gesetzlichen Pflichten, also die Einführung von Sicherheitsmaßnahmen, die Meldung von Vorfällen usw.
Was versteht man unter einem Vermögenswert?
Das Gesetz definiert einen Vermögenswert sehr breit als "ein physisches oder digitales Mittel, eine Person oder eine Tätigkeit im Zusammenhang mit der Verarbeitung von Informationen und Daten in elektronischer Form". Ein Vermögenswert kann also ein Server, ein Mitarbeiter, ein Prozess oder auch ein Rechenzentrumsgebäude sein. Für die Zwecke des Cybersicherheitsmanagements unterscheidet das Gesetz mehrere Arten von Vermögenswerten:
- Primärer Vermögenswert – das Wesentliche, wofür Ihre Organisation existiert. Typischerweise eine erbrachte Dienstleistung oder eine Schlüsselinformation. Beispielsweise gehören bei einer Anwaltskanzlei die erbrachte Rechtsberatung und die damit verbundenen Mandantendokumente zu den primären Vermögenswerten.
- Unterstützende Vermögenswerte – alles, was den Betrieb der primären Vermögenswerte sicherstellt. Zum Beispiel Mitarbeiter, Lieferanten, Gebäude und Büros, aber auch organisatorische Verfahren und Prozesse innerhalb der Organisation. Vereinfacht gesagt stellen unterstützende Vermögenswerte die Infrastruktur und Mittel dar, ohne die primäre Vermögenswerte nicht funktionieren könnten.
- Technische Vermögenswerte – eine Untergruppe der unterstützenden Vermögenswerte, die technische und programmatische Mittel umfasst. Es handelt sich um IT-Systeme und Ausstattung: Server, Netzwerkgeräte, Computer, Software usw. Technische Vermögenswerte werden oft separat überwacht, da die meisten Cybermaßnahmen genau auf sie abzielen.
Bewertung von Vermögenswerten
Sobald die Liste der Vermögenswerte erstellt ist, muss deren Bewertung durchgeführt werden, also die Beurteilung der Bedeutung jedes Vermögenswerts aus Sicherheitsperspektive. Die Praxis und das Gesetz empfehlen, die Bedeutung der Vermögenswerte nach drei grundlegenden Kriterien zu bewerten:
- Vertraulichkeit – wie sensibel die enthaltenen Informationen sind und wer Zugang haben darf
- Integrität – wie schwerwiegend eine Veränderung oder ein Fehler in den Daten wäre
- Verfügbarkeit – wie kritisch es ist, dass der Vermögenswert ständig zur Verfügung steht
Dadurch erfahren Sie, welche Vermögenswerte den größten Einfluss auf Ihr Geschäft haben und den stärksten Schutz verdienen.
Es ist auch wichtig, die gegenseitige Verflechtung der Vermögenswerte zu erkennen. Primäre Vermögenswerte können ohne die unterstützenden nicht funktionieren, und der Ausfall eines einzelnen Elements kann den gesamten Dienst gefährden. Beispielsweise kann der Ausfall eines Schlüsselservers den Mitarbeitern den Zugang zu Kundendaten verwehren; oder ein unzureichend geschulter Mitarbeiter (unterstützender Vermögenswert in Form einer Personentätigkeit) kann Systemfehler und Vorfälle verursachen.
Erfassung von Vermögenswerten
Das ZKB verpflichtet die betroffenen Personen, ein aktuelles und vollständiges Verzeichnis der Vermögenswerte zu führen. Dieses Inventar muss der Realität entsprechen und alle Vermögenswerte umfassen, die die Organisation für die Erbringung der regulierten Dienstleistung nutzt. Ohne einen solchen Überblick ist es nicht möglich, weitere Pflichten zu erfüllen; beispielsweise festzustellen, welchen Vermögenswert ein Sicherheitsvorfall betrifft oder welche Auswirkungen er auf den Betrieb haben kann.
Teil der Erfassung ist auch die Bestimmung eines Garanten, also einer für jeden bedeutenden Vermögenswert verantwortlichen Person. Der Garant ist derjenige, der den Vermögenswert am besten kennt und als Erster eine Veränderung, ein Problem oder eine Schwachstelle erkennen kann. Dies kann beispielsweise der Produktionsleiter beim Steuerungssystem einer Fertigungslinie oder der Finanzdirektor bei der Buchhaltungssoftware sein. Kurz gesagt handelt es sich um die Person, die täglich mit dem Vermögenswert arbeitet und weiß, wie er korrekt funktionieren soll. Der Garant informiert den Cybersicherheitsmanager rechtzeitig über verdächtige Erscheinungen und hilft sicherzustellen, dass kein kritischer Vermögenswert ohne verantwortliche Person bleibt.
Wie cybreg helfen kann
Für viele Organisationen ist der anspruchsvollste Teil des ZKB die Erfassung aller Dienste, Vermögenswerte, Prozesse und verantwortlichen Personen und deren langfristige Aktualisierung. Die manuelle Erfassung in Tabellenkalkulationen wird mit der Zeit unübersichtlich und fehleranfällig.
Moderne Softwarelösungen für Compliance und Cybersicherheitsmanagement (wie z. B. die Software cybreg) vereinfachen und automatisieren diese Aufgabe erheblich. Cybreg ermöglicht:
- Zentrale Erfassung von Diensten, Vermögenswerten, Prozessen, Risiken, Lieferanten und Mitarbeitern
- Zuweisung von Garanten und Nachverfolgung von Änderungen
- Laufende Kontrolle der Einhaltung der ZKB-Anforderungen
- Erstellung der erforderlichen Berichte (z. B. Maßnahmenübersicht oder Audit-Dokumentation)
Das Ergebnis ist ein übersichtliches und stets aktuelles Bild dessen, was die Organisation verwaltet und wie es geschützt ist. Bei einer Prüfung durch das NÚKIB haben Sie klare Unterlagen zur Verfügung, die belegen, dass Sie die Vermögenswerte unter Kontrolle haben und die gesetzlichen Anforderungen erfüllen. In der Praxis bedeutet dies weniger manuelle Arbeit, geringeres Fehlerrisiko und eine effizientere Erfüllung aller ZKB-Pflichten.
Autoren: Kateřina Mikulová und Petr Staroštík von der Anwaltskanzlei FINREG PARTNERS