NIS2: Irrtümer und Fehleinschätzungen könnten teuer werden
Mit der neuen EU-Richtlinie für Cybersicherheit (NIS2) steigt die Zahl der betroffenen Unternehmen in Deutschland von rund 2.000 auf etwa 30.000. Während Großunternehmen oft von ihren Rechtsabteilungengut beraten sind, fühlen sich viele Mittelständler allein gelassen und unsicher. Hier die wichtigsten Fakten und Fehleinschätzungen zum Thema.
Das Risiko, Opfer einer Cyberattacke zu werden, ist aktuell so hoch wie nie – und viele Unternehmen sind darauf nicht ausreichend vorbereitet. Aus diesem Grund hat die EU 2022 die NIS2-Richtlinie verabschiedet, eine strengere Version der bestehenden Vorgaben zum Schutz von Netzwerken und IT-Systemen. In Deutschland wird diese Richtlinie gerade in nationales Recht umgesetzt. Der IT-Softwarehersteller Deskcenter warnt jedoch vor sieben häufigen Missverständnissen rund um NIS2:
- NIS betrifft nur KRITIS-Unternehmen.
Bisher galten die Vorgaben nur für kritische Infrastrukturen (KRITIS), doch NIS2 erweitert den Kreis auf „wichtige Einrichtungen“, darunter fast die gesamte Fertigungsindustrie und Hersteller chemischer Stoffe.
- Mittelständler sind nicht betroffen.
Auch kleinere Firmen müssen nun NIS2 beachten. Unternehmen mit mindestens 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz/Bilanzsumme fallen bereits unter die Richtlinie.
- Es gibt eine Übergangsfrist.
Eine Übergangsfrist ist nicht vorgesehen. Die Bundesregierung muss die Vorgaben bis zum 17. Oktober 2024 umsetzen, ein Inkrafttreten der Vorschriften könnte ab dem 18. Oktober 2024 erfolgen. Der jeweils aktuelle Stand lässt sich auf der Webseite des Bundesinnenministeriums abrufen.
- Backup, Firewall und Virenscan genügen.
Diese Maßnahmen sind wichtig, aber nicht ausreichend. Zentrales Element der Cybersicherheit ist eine kontinuierliche Inventarisierung der IT-Infrastruktur, um alle Geräte und Softwareversionen stets im Blick zu haben.
- Patchmanagement ist optional.
Sicherheitslücken müssen schnell behoben werden. Unternehmen, die nicht zeitnah auf Schwachstellen reagieren, riskieren nicht nur Angriffe, sondern auch empfindliche Strafen.
- Technisch gut aufgestellt ist genug.
NIS2 fordert ein umfassendes Risikomanagement, das auch organisatorische und personelle Maßnahmen umfasst, wie regelmäßige Schulungen der Mitarbeitenden.
- Die IT-Abteilung trägt allein die Verantwortung.
Natürlich liegen strategische Planung und taktische Umsetzung in der Hand der IT-Abteilung oder eines damit beauftragten Dienstleisters. Die alleinige Verantwortung dafür tragen sie gemäß NIS2 jedoch nicht. Die Richtlinie nimmt speziell die Geschäftsleitung in die Pflicht, und das in mehrfacher Hinsicht. So müssen die „leitenden Organe“ einer Organisation zum einen die zu ergreifenden Risikomanagementmaßnahmen umsetzen und deren Umsetzung überwachen. Des Weiteren müssen sie durch regelmäßige Schulungen nachweisen, Risiken und deren Auswirkungen erkennen und bewerten zu können.
Fazit
Vor allem kleinere und mittlere Unternehmen haben im Bereich Cybersicherheit und NIS2-Compliance noch Aufholbedarf. Da rund 28.000 Betriebe erstmals von der NIS2-Richtlinie betroffen sind, wird die Zeit knapp. „Für Mittelständler wird es höchste Zeit, aktiv zu werden. Sie benötigen bis Oktober einfach umsetzbare Lösungen“, betont Martin Schaletzky, Vorstand von Deskcenter. „Cybersicherheit beginnt mit der täglichen Inventarisierung der eigenen IT-Infrastruktur und deren Absicherung durch automatisierte Updates. So können viele der zentralen Anforderungen der NIS2-Richtlinie schnell erfüllt werden.“ Auch wenn der deutsche Gesetzentwurf noch nicht endgültig verabschiedet ist, sind die EU-Vorgaben bereits bekannt.
Martin Schaletzky, Vorstand, Deskcenter AG