Die EU-Cybersicherheitsrichtlinie NIS-2 ist von den Mitgliedstaaten der Europäischen Union bis zum 17. Oktober 2024 in nationales Recht zu überführen. Der Entwurf eines Gesetzes zur Umsetzung in deutsches Recht liegt vor, wobei abzuwarten bleibt, ob das Gesetzgebungsverfahren bis zum 17. Oktober abgeschlossen und das sogenannte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz rechtzeitig in Kraft treten wird. Nach Schätzungen fallen in Deutschland zwischen 25.000 und 40.000 Unternehmen in den Anwendungsbereich. Zu den betroffenen Unternehmen gehören nicht mehr nur Betreiber sogenannter kritischer Infrastrukturen. Vielmehr zählen unter anderem auch Post- und Kurierdienste, Unternehmen der Abfallwirtschaft sowie der chemischen Industrie (Produktion, Herstellung und Handel mit chemischen Stoffen), Hersteller von Medizinprodukten oder Datenverarbeitungsgeräten, von elektronischer Ausrüstung, dem Maschinenbau und Fahrzeugbau dazu. NIS-2 zielt mit ihren weitreichenden Auswirkungen insbesondere auf den deutschen Mittelstand.
Insbesondere der Mittelstand, das Rückgrat der deutschen Wirtschaft, muss sich auf bedeutende technische und organisatorische Veränderungen einstellen, um die Anforderungen der neuen Richtlinie zu erfüllen.
Erhöhte Sicherheitsanforderungen
Der vorliegende Entwurf zur Umsetzung von NIS-2 hat zum Ziel sicherzustellen, dass die erfassten Einrichtungen geeignete und verhältnismäßige technische, betriebliche und organisatorische Cybersicherheitsmaßnahmen ergreifen. Die Angemessenheit wird anhand einer Risikobetrachtung geprüft: Wie wahrscheinlich ist der Eintritt eines Sicherheitsvorfalls und deren Schwere? Zu den Maßnahmen gehören unter anderem Konzepte zur Risikoanalyse und Sicherheit für Informationssysteme, Umgang mit Sicherheitsvorfällen, Business Continuity (Backup-Management, Wiederherstellung nach einem Notfall) und zum Krisenmanagement. Ferner müssen die Unternehmen die IT-Sicherheit der Lieferkette sicherstellen, Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen ergreifen und vor allem auch Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit etablieren. Schließlich müssen die betroffenen Institutionen Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung sowie Verwendung von Lösungen zur Multi-Faktor-Authentifizierung entwickeln. Nicht zuletzt müssen die Unternehmen Schulungen für die Mitarbeiter durchführen, um sie in Cybersicherheitsfragen und für potenzielle Bedrohungen zu sensibilisieren.
Kosten, Investitionen, Know-how
Die Umsetzung von NIS-2 wird finanzielle und personelle Ressourcen erfordern. Dabei stehen insbesondere mittelständische Unternehmen vor großen Herausforderungen: Investitionen in Technologie sind erforderlich, damit neue Sicherheitslösungen und IT-Infrastruktur implementiert werden. Neben diesen Investitionskosten muss das notwendige Know-how im Unternehmen aufgebaut beziehungsweise zur Verfügung gestellt werden, sei es durch Qualifizierung und Schulung der vorhandenen Mitarbeiterschaft oder die Aufnahme neuer Mitarbeiter. In vielen Fällen wird dies dazu führen, dass zusätzliches IT-Personal eingestellt werden muss, insbesondere dort, wo das notwendige Know-how nachhaltig im Unternehmen zur Verfügung stehen sollte. Externe Sicherheitsfachleute können dabei unterstützen, die NIS-2 Anforderungen umzusetzen. In beiden Fällen sehen sich die Unternehmen jedoch mit erhöhten Kosten konfrontiert. Vor dem Hintergrund des allgemeinen Fachkräftemangels, der im Bereich der Informationstechnologie vor allem im Bereich der Sicherheit herrscht, ist dies eine besondere Herausforderung.
Meldepflichten und Berichtswesen
Neben den technischen Anforderungen müssen die Unternehmen auch in organisatorischer und prozessualer Hinsicht in der Lage sein, den strengen Meldepflichten für Sicherheitsvorfälle zu entsprechen. Unternehmen müssen schwerwiegende Sicherheitsvorfälle innerhalb eines bestimmten Zeitrahmens melden, was eine schnelle Reaktion und gut etablierte Kommunikationswege erfordert. Auch im Hinblick auf die Dokumentationspflichten stehen die Unternehmen vor organisatorischen Herausforderungen. Alle Maßnahmen zur Cybersicherheit und Vorfälle müssen umfassend dokumentiert werden, was den Verwaltungsaufwand erhöht. Im Rahmen interner Organisations- und Prozessanalysen sind die Unternehmen gefordert, ihre Governance-Strukturen zu hinterfragen und den Anforderungen von NIS-2 entsprechend anzupassen.
Sanktionen und Haftung
Schließlich sieht NIS-2 Sanktionen bei Nichteinhaltung der regulatorischen Bestimmungen vor: Unternehmen, die die Anforderungen nicht erfüllen, riskieren erhebliche Geldbußen. Sie laufen Gefahr, Reputationsschäden bei Nichteinhaltung der NIS-2-Anforderungen und daraus folgenden erfolgreichen Cyberangriffen zu erleiden, weil das Vertrauen der Kunden und Partner beeinträchtigt ist. Ferner kann die Nichteinhaltung der NIS-2 Anforderungen zur Haftung von Vorstand und Geschäftsführung führen, wenn NIS-2 als Compliance-Vorschrift nicht beachtet wird.
Wettbewerbsvorteile und Chancen
Trotz all dieser erheblichen Herausforderungen bietet die NIS-2 auch Chancen für den deutschen Mittelstand: IT- und Cybersicherheit schafft Vertrauen bei Kunden und Geschäftspartnern und stellen einen Wettbewerbsvorteil dar. Denn die Sensibilität im Umgang mit Daten und Betriebsgeheimnissen – also die Frage, wie die geschäftlichen Kontakte mit den Fremddaten und Informationen umgeht – nimmt zu. Nicht zuletzt eröffnet die neue Regulation auch Innovationspotenzial. Denn Investitionen in Cybersicherheitsmaßnahmen eröffnen technische, organisatorische und prozessuale Potentiale in Unternehmen, wodurch erforderliche Innovationen gefördert und Maßnehmen zur digitalen Transformation beschleunigt werden können.
Zusammenarbeit und Unterstützung
Es sei auch darauf hingewiesen, dass der deutsche Mittelstand auf verschiedene Unterstützungsmaßnahmen zurückgreifen kann, um den Anforderungen von NIS-2 gerecht zu werden. Staatliche und europäische Förderprogramme können finanzielle Unterstützung für Investitionen in Cybersicherheit bieten. Branchenverbände und Netzwerke bieten die Zusammenarbeit an. Der Austausch von Best Practices innerhalb von Branchenverbänden und Netzwerken kann den Mittelstand stärken. Externe Beratung kann gerade in Zeiten des Fachkräftemangels helfen, Lücken in der Cybersicherheit zu identifizieren und zu schließen.
Fazit: Unternehmen müssen proaktiv Maßnahmen ergreifen
Die EU-Cybersicherheitsrichtlinie NIS-2 stellt den deutschen Mittelstand vor erhebliche Herausforderungen, bietet aber auch Chancen zur Verbesserung der IT-Sicherheit und der Wettbewerbsfähigkeit. Unternehmen müssen proaktiv Maßnahmen ergreifen, um die neuen Anforderungen zu erfüllen, und können dabei auf staatliche Unterstützung und die Zusammenarbeit innerhalb ihrer Branchen zählen. Durch die Stärkung der Cybersicherheitsmaßnahmen können mittelständische Unternehmen nicht nur gesetzliche Vorgaben erfüllen, sondern auch das Vertrauen ihrer Kunden und Geschäftspartner stärken und ihre Position im Markt langfristig sichern.
