Die regulatorischen Rahmenbedingungen der EU für sichern Datenumgang sind mit Sicherheit gut gemeint. Aber der Weg zur Umsetzung in geltendes nationales Recht ist für den Großteil der Marktteilnehmer, die kleinen und mittleren Unternehmen (KMU), steinig. Hilfe könnte hier eine neue Nutzen-Perspektive bieten. Für KMU ist Sicherheit ohne Zweifel wichtig, aber damit sie die NIS2-Direktive oder den Cyber Resiliance Act (CRA) wirklich umsetzen können, fehlt dem Ganzen der Produkt-Charakter. Und zwar mit allem, was dazu gehört, besonders aber Kaufanreiz und Preis.
Der CRA ist eine notwendige Korrektur bestehender Regulierung, aber er bringt für KMU keinen Mehrwert. Es sei denn, die Bürger sind bereit, mehr für Cybersicherheit zu zahlen. Wie das funktionieren kann, möchte ich hier darlegen. Asvin war Anfang Juni 2023 Teilnehmer des Online-Workshops der EU, auf dem Marktteilnehmer ihre Einwände zur geplanten Gesetzesvorlage einbringen und einen Korrekturprozess einleiten können. Es trafen sich 40 KMU und deren Verbände mit Experten der Europäischen Kommission.
Wie vielschichtig und komplex die Gesamtlage bezüglich EU-Regulierung ist, zeigte die vom BDI (Bundesverband der Deutschen Industrie) vorgelegte Liste der anstehenden Gesetzgebungen, mit denen sich ein KMU aktiv beschäftigen sollte: Data Act, AI-Act, European Chips Act, NIS 2-Richtlinie, Cyber Resilience Act, Aktivitäten im Bereich Cloud Computing, Digital Markets Act, Digital Service Act, Data Governance Act und Industrielles Metaverse. – Jedes für sich schon eine Herausforderung. In Summe ist dies für ein einzelnes KMU, das von den Gesetzen angesprochen wird, eine unmögliche Aufgabe. Denn zur Bewältigung mangelt es nicht nur an Zeit und Fachwissen. Es fehlt auch das Verständnis, warum ein KMU überhaupt daran mitarbeiten soll, das von der EU gewollte digital souveräne Europa zu schaffen.
Konsens auf dem Treffen war, dass die Kommission von Industrie und KMU-Ökosystem viel verlangt, ohne dass ein klarer geschäftlicher Nutzen unmittelbar erkennbar wäre. Hinzu kommt, dass disruptive und inkrementelle Innovationen durchaus von KMU ausgehen, diese dann aber meist von größeren Unternehmen aufgegriffen und monetarisiert werden. Und dies nicht nur aufgrund klassischer Verdrängungs- und Marktgesetze, sondern wegen machtloser Interessenvertretung. Dazu Henk Koopmans, Präsident des Beirats von CROSS-SILO B.V.: “KMU haben das Nachsehen, weil ihre politische Lobby nicht die Finanzkraft der Marktführer hat, um die Politiker weltweit, in der EU und ihren Mitgliedstaaten, zu beeinflussen.”
Es fehlt also eine inspirierende Geschichte dazu, warum Europa diese Fülle von Gesetzen braucht. Wie wäre es zu schaffen, KMU das Gefühl zu geben, an der Spitze der europäischen Souveränität zu stehen? Meine Antwort: Indem wir ein neues Label für grundlegend sichere Produkte und Services schaffen, etwa „Trust made in Europe“. Erreichen wir das, werden auch die Verbraucher mitziehen. Dann wird das neue Sicherheitsbewusstsein auch die Bürger Europas erreichen, die die Notwendigkeit von Cybersicherheit in ihren Häusern schon jetzt erkennen.
Mit allgemeinen und für jeden gleich geltenden Cyber-Gesetzen können wir den Grundstein für einen menschenzentrierten Umgang mit digitalen Produkten und Services aus dem Internet der Dinge (IoT), der KI oder Distributed-Ledger-Technologie legen. Sicherheit im IoT war immer ein geschäftlicher Kompromiss, jetzt können wir europäische Geräte und Dienste sicherer, weniger hackbar und weniger anfällig für Phishing-Angriffe machen, indem wir Cybersicherheit im Bewusstsein der Verbraucher verankern.
Das geht neben Bewusstsein vor allem über den Preis, und zwar reziprok. Nicht mehr das Billigste ist erstrebenswert, sondern das Sicherste. Einen Ansatzpunkt dafür liefert die CE-Kennzeichnung für elektrische Produkte, mit der ein Hersteller zum Ausdruck bringt, dass er die besonderen Anforderungen an das von ihm vertriebene Produkt kennt und dass selbiges diesen entspricht. Auch sie wurde lange diskutiert und ist nun Realität geworden.
Wünschenswert und von asvin bereits in Teilen realisiert ist daher eine KMU-Community für EU-Cybersicherheit. KMU sollten ihre Silos verlassen und mit KMU sprechen. Anstatt nur die ENISA oder das BSI im Falle von Sicherheitsverletzungen zu benachrichtigen, empfehlen wir, diese durch Peer-to-Peer-Protokolle zu organisieren, die selektiv Sicherheitsinformationen austauschen. Kritische Schwachstellen nur zu horten, ist an sich schon ein Sicherheitsrisiko. Abgesehen davon ist der Prozess auch einseitig und nicht dynamisch. Man möchte Verstöße und Lösungen so früh wie möglich mit Gleichgesinnten teilen, in diesem Fall mit europäischen KMU für Cybersicherheit, damit diese ihre Kunden und deren Kunden ihre Kollegen in der Lieferkette sofort informieren können. Wir bei asvin io arbeiten an dieser neuen Offenheit, daran, dass Beziehungen sichtbar werden, und mit dem Ziel, dass ein Preis erst dann heiß ist, wenn er Sicherheit einpreist. Info zu unseren Forschungsprojekten, Eventteilnahmen und Lösungen hier: https://asvin.io/
Ich wünsche wie immer einen inspirierenden Tag! Und freue mich auf Anregungen hier bei LinkedIn.
