Cybersicherheit jetzt optimieren

NIS2-Gesetz erwischt den Mittelstand kalt

Am 16. Januar 2023 schrieb das Handelsblatt „Kaum zu bewältigen: Neue EU-Richtlinie für Cybersicherheit setzt Unternehmen unter Zeitdruck“. Und weiter: „Unternehmen müssen auf Geheiß der EU mehr für ihre Cybersicherheit tun. Die Frist wird knapp.“ Was ist seitdem passiert? Und wie betrifft das NIS2-Gesetz den Mittelstand?

Foto: AdobeStock/MP Studio

Es liegen inzwischen zweieinhalb Referentenentwürfe vor. Das deutsche Gesetz hört auf den klangvollen Namen „NIS2UmsuCG“, was übersetzt für „NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz“ steht. Es wird in der Endfassung zirka 180 bis 200 Seiten haben und Mittelständler mit mehr als 50 Mitarbeitern und mehr als zehn Millionen Euro Umsatz betreffen, die dem verarbeitenden Gewerbe und der Herstellung von Waren zugeordnet werden. Dazu gehören unter anderem die Herstellung von Medizinprodukten, Kraftwagenteilen, elektronischen und optischen Erzeugnissen sowie der Maschinenbau. Geschätzt sind das in Deutschland 29.000 Unternehmen.

Mittelstand muss aufholen

Das NIS2-Gesetz ist im Kern sehr sinnvoll. Der Schaden, der jährlich für die deutsche Wirtschaft durch Cyberangriffe entsteht, wird auf zirka 206 Milliarden Euro beziffert (laut BITKOM, zuzüglich Dunkelziffer). Die Bedrohung im Cyberraum ist so hoch wie noch nie. Qualität und Anzahl der Angriffe haben beträchtlich zugenommen.

Der deutsche Gesetzgeber hat in enger Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in den Jahren 2015, 2017 und 2021 bereits vor der EU drei Gesetze auf den Weg gebracht, um die kritischen Infrastrukturen (KRITIS) zu schützen. Für uns alle war es in Ordnung, dass zum Beispiel Flughäfen und Kernkraftwerke angemessen geschützt werden. Aber warum sollte dies nun für alle Unternehmen von Interesse sein? Weil das NIS2UmsuCG die bestehenden drei Gesetze am 17. Oktober 2024 ablösen wird und sichergestellt werden muss, dass die kritischen Infrastrukturen nahtlos gesetzlich geregelt sind. Im Gesetzestext sind Unternehmen ab 250 Mitarbeitern in vielen Punkten gleichgesetzt mit den heutigen KRITIS-Unternehmen. Diese Unternehmen hatten seit 2015 Zeit, sich auf die gesetzlichen Anforderungen vorzubereiten, das entsprechende Personal einzustellen, die notwendigen Qualifikationen zu erwerben und die relevanten Prozesse einzuführen. Auch bei den KRITIS-Unternehmen muss durch das neue Gesetz vieles wieder justiert werden. Dafür haben sie feste Partner, mit denen sie seit Jahren zusammenarbeiten. Aber was machen die neu betroffenen Unternehmen im Mittelstand? Der überwiegende Teil von ihnen hat sich noch nicht informiert, fühlt sich überfordert oder regt sich über die „böse“ EU auf.

Sicherheit wird selbstverständlich

Dabei ist es im Kern wie bei der Anschnallpflicht. Sie wurde erstmals am 1. Januar 1976 eingeführt, allerdings zunächst nur auf den Vordersitzen. Ab dem 1. August 1984 wurde sie auf alle Sitzplätze ausgeweitet. Auch da gab es zu Beginn Unmut. Und heute? Das Anschnallen ist selbstverständlich geworden und hat viele Leben gerettet. Trotzdem würde niemand wegen des Sicherheitsgurtes auf einen Airbag verzichten, auf den Seitenaufprallschutz oder die Bremsen. Erst diese vielen Maßnahmen ermöglichen den Fahrgästen ein Reisen bei geringem Risiko.

IT-Sicherheit schützt die IT-Infrastruktur, zum Beispiel das Netzwerk oder die Server. NIS2 formuliert jedoch nicht nur Anforderungen an die IT-Infrastruktur, sondern fordert den gezielten Schutz der eigenen Unternehmensdaten, der Geschäftsprozesse und der Lieferfähigkeit.

Geschäftsleitung haftet

Geschäftsführer haften persönlich für die Umsetzung des Gesetzes, sogar deutlicher als bei vielen anderen Gesetzen. Im § 38 heißt es in Absatz 1: „(1) Geschäftsleiter … sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.“ Und weiter in Absatz 2: „(2) Ein Verzicht der Einrichtung auf Ersatzansprüche aufgrund einer Verletzung der Pflichten nach Absatz 1 oder ein Vergleich der Einrichtung über diese Ansprüche ist unwirksam.“ Und um ganz sicher zu gehen, dass die Geschäftsleitung ihre Billigungs-, Überwachungs- und Schulungspflicht kennt, gibt es noch Absatz 3: „(3) Die Geschäftsleiter … müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.“

So kann die Lösung aussehen

NIS2 ist ein Kommunikations- und Kooperationsgesetz. Um nicht völlig auf dem falschen Fuß erwischt zu werden, ist es wesentlich, sich einen Überblick über den Stand der Gesetzgebung zu verschaffen.

Die „NIS2-Challenge“ der Inovasec GmbH zeigt konkrete und verständliche Lösungswege, die speziell auf die Möglichkeiten des Mittelstands abgestimmt und ausgerichtet sind. Mit ihrer Hilfe finden Sie Antworten auf die folgenden Fragen:

  • Wie viel Cybersicherheit braucht das eigene Unternehmen?
  • Wie lässt sich ein leistbares Risikomanagement aufsetzen?
  • Wie wendet man das Risikomanagement praktisch an?
  • Was gilt es besonders zu beachten?

Im eigenen Interesse sollten auch mittelständische Unternehmen ihre Cybersicherheitsmaßnahmen überprüfen und sicherstellen, dass sie den Anforderungen des NIS2-Gesetzes entsprechen.

www.inovasec.de/nis2-challenge

www.bsi.bund.de

Weitere ­Informationen

Datenschutz
Schützt nicht die Daten, sondern die Betroffenenrechte. Der Datenschutzbeauftragte (DSB) bringt oft einen juristischen Hintergrund mit.

IT-Sicherheit
Schützt die eigene IT-Infrastruktur, das Netzwerk, die Server, zum Beispiel mit Hilfe eines Virenscanners oder durch eine Firewall.

Informationssicherheit
Schützt Unternehmensdaten und Geschäftsprozesse und hilft so, die Lieferfähigkeit zu erhalten und Digitalisierungsziele zu erfüllen.

Cybersicherheit
Erweitert die Informationssicherheit um mobile Dienste, Cloud-Angebote und Vernetzungen mit Kunden und Lieferanten. Informationssicherheit wird auf den „Cyberraum“ ausgedehnt.

Cyberresilienz
Cyberresilienz umfasst Maßnahmen, die ergriffen werden können, um auch dann Kontinuität zu gewährleisten, wenn Schutzmaßnahmen durchbrochen werden oder Umstände eintreten, die außerhalb der eigenen Kontrolle liegen.

Autor

Christian Kreß
06103 8038055
christian.kress@inovasec.de