Immer auf dem Laufenden bleibenDie NIS2-Richtlinie stellt eine Verschärfung der europäischen Cybersicherheitsvorschriften dar, die mittlere bis große Unternehmen in kritischen Sektoren betreffen. Während kleine Unternehmen mit weniger als 50 Mitarbeitern oder einem Umsatz von weniger als 10 Millionen Euro von der Richtlinie ausgenommen sind, ist es für viele Unternehmen schwierig, ihren Konformitätsstatus zu bestimmen. Die Richtlinie zielt auf die zunehmenden Cyber-Bedrohungen ab, steht jedoch aufgrund von Ressourcenbeschränkungen und technischer Komplexität vor Herausforderungen bei der Umsetzung. Unternehmen können sich darauf vorbereiten, indem sie ihre Anwendbarkeit prüfen, die aktuellen Sicherheitsmaßnahmen bewerten und strategische Umsetzungspläne entwickeln.
Was ist NIS2, wozu braucht man das und wer ist davon betroffen?
Die NIS2-Richtlinie stellt einen wichtigen Baustein für die europäische Cybersicherheitslandschaft dar. Diese EU-Vorgabe zielt darauf ab, die Cybersicherheit in Unternehmen zu stärken und hat weitreichende Auswirkungen auf viele Organisationen. Nicht alle Unternehmen sind betroffen: Kleinere Betriebe sind ausgenommen.
Die Richtlinie erweitert den Fokus über die traditionelle kritische Infrastruktur hinaus auf neue Sektoren wie die Abfallwirtschaft. Der Zweck ist klar: Unternehmen sollen zu mehr Cybersicherheit verpflichtet werden, da Cyberangriffe die Handlungsfähigkeit stark einschränken und sogar zum Erliegen wesentlicher Infrastruktur des Landes führen können. Die erste größte Herausforderung besteht für viele Unternehmen darin, korrekt einzuschätzen, ob sie unter die Regelungen fallen.
Wie finde ich heraus, ob ich betroffen bin?
Wie können Unternehmen eigentlich feststellen, ob sie von der NIS2-Richtlinie betroffen sind? Die Einordnung erfolgt hauptsächlich anhand der Unternehmensgröße und des Tätigkeitsbereichs. Die relevanten Tätigkeitsbereiche sind im Gesetz aufgeführt. Unternehmen mit weniger als 50 Mitarbeitern oder einem Jahresumsatz unter 10 Millionen Euro sind ausgenommen. Ein Fragebogen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) kann bei der Ersteinschätzung weiterhelfen.
Eine Selbsteinschätzung kann schwierig sein, da die Richtlinie viele Bereiche abdeckt – von traditioneller kritischer Infrastruktur bis hin zu neuen Sektoren wie der Abfallwirtschaft. Externe Berater können helfen, die eigene Position korrekt einzuordnen. Der Experte der ersten Wahl ist aber der eigene Rechtsberater (Syndikusanwalt, Hausanwalt). Unternehmen sollten nicht warten, bis die nationale Gesetzgebung in Deutschland in Kraft tritt, sondern schon jetzt aktiv werden.
Warum ist Informationssicherheit wichtig?
Unabhängig von gesetzlichen Vorgaben hat Informationssicherheit einen fundamentalen Wert für jedes Unternehmen in der heutigen digitalisierten Welt. Sie schützt nicht nur sensible Daten, sondern sichert auch die Handlungsfähigkeit des gesamten Betriebs. Wie der Fall eines kompromittierten Milchviehbetriebs zeigt, können Cyberangriffe die grundlegende Funktionsfähigkeit eines Unternehmens bedrohen und im schlimmsten Fall zur dauerhaften Lähmung des Geschäftsbetriebs und Insolvenz führen. Cyberangriffe finden ständig statt und
Informationssicherheit ist somit kein Luxus, sondern eine betriebliche Notwendigkeit. Sie stärkt das Vertrauen von Kunden und Geschäftspartnern und verhindert finanzielle Verluste durch Betriebsausfälle, Datendiebstahl und Erpressung.
Wieso sind Unternehmen aber auch öffentliche Stellen oft so schlecht aufgestellt?
Warum bleiben zahlreiche Unternehmen und öffentliche Stellen bei der Cybersicherheit bzw. allgemein bei der Informationssicherheit oft hinter den Anforderungen zurück? Die Gründe hierfür sind vielfältig. Häufig fehlt es zuerst an Risikobewusstsein auf oberster Führungsebene. Cybersicherheit ist ein wenig wie das Verkaufen von Versicherungen, und da wissen von uns die meisten, dass die abstrakte Vorstellung zukünftiger negativer Ereignisse schwer zu vermitteln ist. Und – um es mit den Worten eines bekannten Humanisten zu kommentieren – „Der Fisch stinkt vom Kopf“. Auch die „Es-wird-schon-nichts-passieren“-Mentalität spielt eine Rolle, wobei die steigende Zahl erfolgreicher Cyberangriffe beweist, dass diese Einstellung äußerst gefährlich ist.
Weiterer Faktor sind die oft nicht ausreichenden finanziellen Mittel oder qualifiziertes Personal. Viele Organisationen betrachten Cybersicherheit als Kostenfaktor statt als Investition in die Zukunftssicherung.
Hinzu kommt die Komplexität der Materie: Standards wie ISO 27001 oder BSI-Grundschutz erscheinen für kleine und mittlere Unternehmen überwältigend. Die kleineren Standards (VdS 10000, ISIS-12) sind oft nicht bekannt.
Wie gehe ich als Unternehmen an die Sache heran?
Für Unternehmen stellt sich die grundlegende Frage nach dem richtigen Einstieg in die Cybersicherheit gemäß NIS2. Experten empfehlen, zunächst zu prüfen, ob das Unternehmen überhaupt unter die Richtlinie fällt. Firmen mit weniger als 50 Mitarbeitern oder unter 10 Millionen Euro Jahresumsatz sind in der Regel ausgenommen. Als nächsten Schritt sollte eine Bestandsaufnahme der aktuellen Sicherheitslage erfolgen.
Hierbei können etablierte Standards wie ISO 27001 oder der BSI-Grundschutz als Orientierung dienen. Für kleine und mittelständische Unternehmen bietet sich auch der deutsche VdS-10000-Standard an. Wichtig ist, dass die Verantwortung für Cybersicherheit auf Führungsebene verankert wird. Unternehmen sollten proaktiv handeln und nicht warten, bis gesetzliche Fristen sie unter Druck setzen.
Typische Inhalte der ersten Bestandsaufnahme sind IT-Management, IT-Sicherheits-Management und Informationsschutz (Werbespot: bieten wir hier auch zu fairen Festpreisen an). Es gibt aber auch gute Arbeitsmittel, um sich als Organisation selbst einzuschätzen, wie die DIN SPEC 27076 (2023-05).
Fazit
Auch wenn die NIS2-Richtlinie als Belastung erscheinen mag, so ist sie doch ein notwendiger Schritt zu mehr Cybersicherheit. Ob gesetzlich vorgeschrieben oder nicht, der Schutz digitaler Systeme ist für Unternehmen überlebenswichtig. Unternehmen sollten diese Vorschriften nicht als bloße Kontrollkästchen für die Einhaltung von Vorschriften betrachten, sondern als Chance, ihre Sicherheitslage zu verbessern. Mit der richtigen Planung und einer proaktiven Denkweise können Unternehmen die Herausforderungen der Vorschriften in wertvolle Schutzmaßnahmen gegen die wachsenden Cyber-Bedrohungen umwandeln. Dabei muss das Rad nicht neu erfunden werden: es gibt einschlägige Standards für kleine oder große Organisationen.
