Es hat etwas länger gedauert, doch nun soll noch in diesem Jahr soll die „Network und Information Security Directive 2″, kurz NIS-2“ ohne Übergangsfristen in deutsches Recht umgesetzt werden. Nach Angaben des Beratungsunternehmens Althammer und Kill betrifft dies bis zu vierzigtausend Unternehmen und Organisationen. Dazu zählen Firmen, die Schwellenwerte wie mehr als 50 Mitarbeiter oder mehr als zehn Millionen Euro Jahresumsatz überschreiten, ebenso wie Einrichtungen, die aus anderen Gründen als sehr wichtig oder wichtig gelten. Da die Richtlinie ähnlich wie das Lieferkettensorgfaltspflichtengesetz auch Dienstleister und Zulieferer erfasst, werden zahlreiche Betriebe dort nun in die Pflicht genommen.
Thomas Althammer, Geschäftsführer von Althammer und Kill, sagt: „Der Bundestag hat NIS-2 beschlossen und wir gehen davon aus, dass es nur noch eine Frage weniger Wochen ist, bis das deutsche Umsetzungsgesetz vollständig in Kraft ist. Die NIS-2-Verordnung der EU gilt übergreifend schon längere Zeit. Wer jetzt noch nicht begonnen hat, sollte schleunigst starten.“
Besonders wichtige oder wichtige Unternehmen müssen die erweiterten Anforderungen im Risikomanagement unmittelbar umsetzen. Geschäftsführung und Vorstand sollen bei Pflichtverletzungen haften.
Unklarheiten für kleinere Unternehmen und indirekt Betroffene
Viele kleinere Unternehmen aus Bereichen wie Energie, Verkehr, Gesundheit, digitaler Infrastruktur oder IT-Dienstleistungen sehen sich allerdings weiterhin Unsicherheiten gegenüber. Zwar gelten sie grundsätzlich als ausgenommen, können jedoch erfasst werden, wenn sie kritische Dienstleistungen erbringen oder eine besondere nationale Bedeutung haben, schreibt Althammer und Kill. Damit rückt auch für sie die Frage nach der eigenen Relevanz für die Versorgungssicherheit in den Vordergrund.
Zudem entstehen mittelbare Verpflichtungen, abhängig von Größe, Struktur und Leistungsangebot. Althammer erwartet eine enge Verzahnung der Richtlinie mit dem branchenübergreifenden Orientierungsrahmen, der künftig Reifegrad und Stand der Technik bewertet. Hinzu kommen Anforderungen aus der Datenschutz-Grundverordnung. Artikel 32 verpflichtet Unternehmen, technische und organisatorische Maßnahmen zur Informationssicherheit nachzuweisen, insbesondere nach Datenschutzvorfällen oder Cyberangriffen. Auch Cyberversicherer verlangen üblicherweise, dass ein Informationssicherheits-Managementsystem betrieben wird.
Kritik an der Ausklammerung von Kommunen und Behörden
Die geplante Ausnahme für kleinere Behörden und Kommunen bewertet Althammer kritisch. Er verweist auf Fälle, in denen Angriffe Verwaltungen lahmgelegt und sensible Daten kompromittiert haben. Obwohl die Einbeziehung von Verwaltungs- und Bildungseinrichtungen nicht verpflichtend ist, haben zahlreiche EU-Staaten sie umgesetzt.
„Die aktuelle Cyber-Bedrohungslage, allgemeine gesetzliche Vorgaben und Fürsorgepflichten für die anvertrauten Menschen erfordern eine aktivere Auseinandersetzung mit Informationssicherheit und Business-Continuity-Management für viele kleine und mittelständische Unternehmen über alle Branchen hinweg, sowie Behörden und Kommunen“, so Althammer weiter. Das kostenfrei verfügbare Whitepaper des Unternehmens soll Orientierung geben, welche Schritte für die Umsetzung von NIS-2 notwendig werden.
