Der Mittelstand wird vom NIS2-Gesetz kalt erwischt
NIS2 Gesetz
- 12.03.2024
Zum aktuellen Stand des NIS2-Gesetzes
Unternehmen im Mittelstand sind dann betroffen, wenn sie mehr als 50 Mitarbeiter haben, mehr als 10 Millionen Euro Umsatz machen und sich dem verarbeitenden Gewerbe und der Herstellung von Waren zuordnen lassen. Dazu gehören unter anderem die Herstellung von Medizinprodukten, Kraftwagenteilen, elektronischen und optischen Erzeugnissen sowie der Maschinenbau. Schätzungen sprechen von circa 29.000 Unternehmen allein in Deutschland.
Der Mittelstand muss neun Jahre Vorsprung der KRITIS-Unternehmen aufholen
Das NIS2-Gesetz ist im Kern sehr sinnvoll. Der Schaden, der für die deutsche Wirtschaft durch Cyberangriffe entsteht, wird auf circa 206 Milliarden Euro im Jahr beziffert (laut BITKOM, zuzüglich Dunkelziffer). Die Lage ist angespannt bis kritisch, die Bedrohung im Cyberraum so hoch wie noch nie, Qualität und Anzahl der Angriffe nahmen beträchtlich zu.Der deutsche Gesetzgeber hat in enger Kooperation mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) in den Jahren 2015, 2017 und 2021 bereits vor der EU drei Gesetze auf den Weg gebracht, um die kritischen Infrastrukturen (KRITIS) zu schützen. Für uns alle war es in Ordnung, dass zum Beispiel Flughäfen und Kernkraftwerke angemessen geschützt werden. Aber warum sollte dies nun für alle Unternehmen von Interesse sein? Weil das NIS2UmsuCG die bestehenden drei Gesetze am 17.10.2024 ablösen wird und sichergestellt werden muss, dass die kritischen Infrastrukturen nahtlos gesetzlich geregelt sind. Im Gesetzestext sind Unternehmen ab 250 Mitarbeitern in vielen Punkten gleichgesetzt mit den heutigen KRITIS-Unternehmen. Diese Unternehmen hatten jedoch seit 2015 Zeit, sich auf die gesetzlichen Anforderungen vorzubereiten, das entsprechende Personal einzustellen, die notwendigen Qualifikationen zu erwerben und die relevanten Prozesse einzuführen. Auch bei den KRITIS-Unternehmen muss durch das neue Gesetz vieles neu justiert werden. Dafür haben sie jedoch feste Partner, mit denen sie seit Jahren zusammenarbeiten.
Wie sieht es bei den erweiterten Zielgruppen aus? Was machen die neu betroffenen Unternehmen im Mittelstand? Der überwiegende Teil der betroffenen Unternehmen im Mittelstand hat sich noch nicht über das kommende Gesetz informiert, fühlt sich überfordert oder regt sich über die „böse“ EU auf.
Sicherheit zur guten Gewohnheit machen – so geht's
IT-Sicherheit schützt die IT-Infrastruktur, zum Beispiel das Netzwerk oder die Server. NIS2 formuliert jedoch nicht nur Anforderungen an die IT-Infrastruktur, sondern fordert auch den gezielten Schutz der eigenen Unternehmensdaten, der Geschäftsprozesse und der Lieferfähigkeit.
Datenschutz
Schützt nicht die Daten, sondern die Betroffenenrechte. Der Datenschutzbeauftragte (DSB) bringt oft einen juristischen Hintergrund mit.
IT-Sicherheit
Schützt die eigene IT-Infrastruktur, das Netzwerk, die Server, zum Beispiel mit Hilfe eines Virenscanners oder durch eine Firewall.
Informationssicherheit
Schützt Unternehmensdaten und Geschäftsprozesse und hilft so, die Lieferfähigkeit zu erhalten und Digitalisierungsziele zu erfüllen.
Cybersicherheit
Erweitert die Informationssicherheit um mobile Dienste, Cloud-Angebote und Vernetzungen mit Kunden und Lieferanten. Informationssicherheit wird auf den „CyberRaum“ ausgedehnt.
Cyberresilienz
Cyberresilienz umfasst Maßnahmen, die ergriffen werden können, um auch dann Kontinuität zu gewährleisten, wenn Schutzmaßnahmen durchbrochen werden oder Umstände eintreten, die außerhalb der eigenen Kontrolle liegen.
Das NIS2-Gesetz und die Haftungsregelung der Geschäftsleitung
Geschäftsführer haften persönlich für die Umsetzung des Gesetzes, sogar deutlicher als bei vielen anderen Gesetzen. Im § 38 heißt es in Absatz 1 wörtlich: „(1) Geschäftsleiter ... sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.“ Und weiter in Absatz 2: „(2) Ein Verzicht der Einrichtung auf Ersatzansprüche aufgrund einer Verletzung der Pflichten nach Absatz 1 oder ein Vergleich der Einrichtung über diese Ansprüche ist unwirksam.“ Und um ganz sicher zu gehen, dass die Geschäftsleitung ihre Billigungs-, Überwachungs- und Schulungspflicht kennt, gibt es noch den Absatz 3: „(3) Die Geschäftsleiter ... müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.“Wie könnte eine Lösung aussehen?
Für die an einer Lösung interessierten Unternehmen hat Christian Kreß die „NIS2-Challenge“ ins Leben gerufen. Im Live-Webinar zeigt Christian Kreß sehr konkrete und trotzdem verständliche Lösungswege, die speziell auf die Möglichkeiten des Mittelstands abgestimmt und ausgerichtet sind. Falls Interesse besteht, kann man online kostenlos einen der angebotenen Termine für ein Live-Webinar buchen. Es wird empfohlen, etwa zwei Stunden Zeit dafür einzuplanen, um Antworten auf die folgenden Fragen zu erhalten:
• Wie viel Cybersicherheit braucht das eigene Unternehmen?
• Wie lässt sich ein leistbares Risiko-Management aufsetzen?
• Wie wendet man das Risiko-Management praktisch an?
• Was gilt es besonders zu beachten?
