Sie sind hier: Home » Markt » Hinweise & Tipps

Chaos bei der Umsetzung von NIS-2 droht


Je nach Einstufung eines Unternehmens als Betreiber kritischer Infrastrukturen oder wichtiger beziehungsweise wesentlicher Einrichtungen wird es noch gewisse Übergangsfristen für die NIS-2-Umsetzung geben
Das Damoklesschwert NIS-2 kann schneller wirksam werden, als manchem lieb ist: Ab Inkrafttreten des Gesetzes kann das BSI allerdings von besonders relevanten Einrichtungen Nachweise über die Umsetzung der Maßnahmen oder Audits einfordern



Von Bernhard Kretschmer, Vice President Services und Cybersecurity bei NTT Ltd.

Ein Blick zurück kann manchmal sehr lehrreich sein: Am 26. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft – genauer gesagt endete die 24-monatige Übergangsfrist. Zwei Jahre hatten deutsche Unternehmen also Zeit, ihre Prozesse an die neue Richtlinie anzupassen. Doch viele wurden erst wenige Tage vor Ablauf der Frist aktiv. Die einen versuchten in Eigenregie, die offensichtlichsten Schwachstellen zu beheben. Andere riefen externe Spezialisten an – mit dem verzweifelten Wunsch, sie im Eilverfahren DSGVO-tauglich zu machen.

Man muss kein Hellseher sein, um zu wissen, dass sich die Geschichte mit NIS-2 wiederholen wird. Bis zum 17. Oktober 2024 müssen die EU-Mitgliedstaaten die zweite Auflage der "Network and Information Security Directive" in nationales Recht umsetzen. In Deutschland liegt bereits ein Referentenentwurf des Bundesinnenministeriums zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vor. Künftig sind die betroffenen Betriebe verpflichtet, die Einhaltung der Sicherheitsanforderungen zu gewährleisten und etwaige Vorfälle zu melden. Unter die Richtlinie fallen ganz allgemein formuliert alle Unternehmen, die als Betreiber kritischer Infrastrukturen gelten. Dazu zählen beispielsweise Organisationen aus den Bereichen Energie, Verkehr und Gesundheit, aber auch Anbieter digitaler Dienste und das produzierende Gewerbe. Unterschieden wird zwischen den Kategorien "wichtig" und "wesentlich" – je nachdem wie essentiell die einzelne Organisation für die Gesellschaft, die Sicherheit des Landes und die Wirtschaft ist. Mit NIS-2 wird Cyber-Sicherheit und -Resilienz in Deutschland jedenfalls für eine deutlich größere Anzahl von Firmen als bisher zum Top-Thema oder besser gesagt zur Pflicht. Direkt betroffen sind mindestens 30.000 Unternehmen. Indirekt kommen all jene hinzu, die im Rahmen der Sicherung von Lieferketten besondere Maßnahmen umzusetzen müssen.

Zwar wird es je nach Einstufung eines Unternehmens als Betreiber kritischer Infrastrukturen oder wichtiger beziehungsweise wesentlicher Einrichtungen noch gewisse Übergangsfristen für die NIS-2-Umsetzung geben. Ab Inkrafttreten des Gesetzes kann das BSI allerdings von besonders relevanten Einrichtungen Nachweise über die Umsetzung der Maßnahmen oder Audits einfordern. Das Damoklesschwert NIS-2 kann daher schneller wirksam werden, als manchem lieb ist. Fakt ist: Die Anforderungen sind eine tickende Zeitbombe für alle, die ihre IT-Sicherheit bisher vernachlässigt haben. Erstens ist NIS-2-Konformität kein Produkt, das man einfach kaufen und tags darauf implementieren kann.

Vielmehr müssen sich die von der Regelung betroffenen Unternehmen darüber im Klaren sein, dass die Umsetzung der neuen EU-Richtlinie ein wirklich umfangreiches, strategisches Projekt ist, das Auswirkungen in die unterschiedlichsten Bereiche hinein hat. Bedenkt man außerdem, dass viele Hardwarekomponenten derzeit immer noch lange Lieferfristen haben, ist der zeitliche Rahmen, um ein adäquates Sicherheitspaket zu schnüren, knapp bemessen. Nicht zuletzt dürften die wenigsten Betriebe in der Lage sein, die geforderten Auflagen mit der eigenen IT-Mannschaft zu erfüllen. Einen dedizierten Chief Information Security Officer (CISO) hat außerdem nur eine Minderheit implementiert. Auch externe Spezialisten werden auf den letzten Metern immer schwerer zu bekommen sein.

Wer jetzt auf die Idee kommt, NIS-2 nach dem Motto "Wo kein Richter, da kein Henker" auszusitzen – schließlich werden nur die besonders relevanten Einrichtungen auditiert –, handelt jedoch grob fahrlässig. Zum einen ist die neue EU-Richtlinie die Antwort auf die wachsenden Bedrohungen in der digitalen Welt. Cyber-Angriffe werden immer raffinierter und Unternehmen müssen sich im eigenen Interesse darauf vorbereiten. Andererseits treffen die vorgesehenen Sanktionen bei Sicherheitsvorfällen die Firmen und Organisationen hart. Betriebe, die als "wesentlich" eingestuft werden, drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Der Referentenentwurf des Bundesinnenministeriums sieht sogar vor, dass Geschäftsführer und andere Leitungsorgane mit ihrem Privatvermögen für die Einhaltung der Risikomanagementmaßnahmen haften. Ihnen droht ein Bußgeld in gleicher Höhe. NIS-2 ist also längst zu einem Compliance-Risiko geworden, das die Verantwortlichen sehr ernst nehmen sollten.

Die Uhr tickt jedenfalls. Jedes Unternehmen, das unter die NIS-2-Richtlinie fällt, sollte spätestens jetzt die Umsetzung angehen und alle Baustellen in seiner IT-Sicherheitsarchitektur schnellstmöglich beheben. (NTT Data: ra)

eingetragen: 18.04.24
Newsletterlauf: 19.06.24


NTT Data: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Ethik für KI-Technologien ein Muss

    Das Europäische Parlament hat kürzlich mit dem "AI-Act" die weltweit erste staatliche Regulierung von KI verabschiedet. Die Verordnung soll die Entwicklung und den Einsatz von KI-Technologien maßgeblich regeln, indem sie Transparenz, Rechenschaftspflichten und Sicherheitsstandards vorschreibt.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld. "Mit einer gründlichen Vorbereitung können Firmen, Freiberufler und Selbstständige der Kontrolle ihrer Buchführung durch das Finanzamt aber in aller Regel gelassen entgegenblicken", betont Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Bausteine für ein erfolgreiches ESG-Reporting

    Das Europäische Parlament hat bereits zum Jahresende 2022 die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive, kurz CSRD) angenommen. Zahlreiche Unternehmen - kapitalmarktorientierte, aber auch viele aus dem Mittelstand - sind spätestens Anfang 2025 rechtlich dazu verpflichtet, Informationen über die gesellschaftlichen und ökologischen Auswirkungen ihres Handelns zu veröffentlichen und nach einem klar vorgegebenen Kriterienkatalog Rechenschaft abzulegen.

  • Chaos bei der Umsetzung von NIS-2 droht

    Ein Blick zurück kann manchmal sehr lehrreich sein: Am 26. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft - genauer gesagt endete die 24-monatige Übergangsfrist. Zwei Jahre hatten deutsche Unternehmen also Zeit, ihre Prozesse an die neue Richtlinie anzupassen.

  • Die Uhr für DORA-Compliance tickt

    Ab dem 17. Januar 2025, gilt der Digital Operational Resilience Act (DORA) EU-weit für Finanzunternehmen und ihre IT-Partner. Da es sich um eine Verordnung der europäischen Union handelt, findet die Umsetzung in nationales Recht nicht statt.

Bausteine für ein erfolgreiches ESG-Reporting Die Uhr für DORA-Compliance tickt

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen