News, Recht & Justiz, zAufi

Sicherheitsexperte: Neues Cyberabwehr-Gesetz trifft 30.000 Firmen in Deutschland

Bricht die Firewall? Zu viele Unternehmen tun zu wenig für ihre informationstechnologische Sicherheit, meint das neue Cyber-Sicherheitsnetzwerk Sachsen. Visualisierung: Dall-E

Bricht die Firewall?. Visualisierung: Dall-E

Prognose: Viele im Mittelstand werden „NIS2UmsuCG“ kaum erfüllen können

Berlin/Frankfurt am Main, 11. Juli 2024. Der Vorschriften-Dschungel für den Mittelstand wächst weiter: Künftig müssen weit mehr Unternehmen als bisher die Cybersicherheits-Vorgaben und Meldepflichten des neuen „Netzwerk- und Informationssicherheit-2-Umsetzungs- und Cybersicherheitsstärkungs­gesetzes“ (NIS2UmsuCG) erfüllen. Darauf hat Technikdirektor Dennis Weyel vom Sicherheitssoftware-Unternehmen „Horizon3.ai“ aus Frankfurt am Main hingewiesen. Dies werde rund 30.000 Unternehmen in Deutschland betreffen – und zwar auch jenseits der im Gesetz genannten „kritischen“ Branchen.

Dennis Weyel. Foto: Horizon3.ai

Dennis Weyel. Foto: Horizon3.ai

40 % der Firmen über 50 Mitarbeiter bekommen neue Pflichten

Laut Dennis Weyel gehen weite Teile vor allem der mittelständischen Wirtschaft davon aus, von NIS2 nicht betroffen zu sein, weil die neue Richtlinie nur für die Betreiber sogenannter „Kritischer Infrastrukturen“ (Kristis) gelte. „Das ist ein Irrtum. In Wirklichkeit unterliegen rund 40 Prozent aller Firmen ab 50 Beschäftigte in Deutschland den NIS2-Regularien“, sagt Dennis Weyel. Unter die Richtlinie fallen nämlich nicht nur die Unternehmen in den vom Gesetzgeber genannten Branchen, sondern auch alle Zulieferer und Dienstleister dazu.

Auch wer „kritische Branchen“ nur beliefert, muss neue Auflagen erfüllen

Zu den kritischen Wirtschaftssegmenten, die sich besonders gegen Cyberangriffe schützen, dafür ihre Mitarbeiter schulen, all dies dokumentieren und weitere Vorgaben erfüllen müssen, gehören laut dem aktuellen Referenten-Entwurf folgende Branchen: Abfall- und Abwasser­wirtschaft, Bankwesen, Chemie, digitale Infrastruktur, Energiewirtschaft, Finanzwesen, Forschung, Gesundheitswesen, IKT-Dienstleistungen, Lebensmittel, Medizinprodukte, Öffentliche Verwaltung, Post- und Kurierdienste, Transport, Trinkwasser, Weltraum, Maschinen, Fahrzeuge und elektrische/elektronische Geräte. „Firmen, die Unternehmen aus einer dieser Branchen im Kundenkreis haben, sollten sich auf jeden Fall auf NIS2 vorbereiten“, rät Dennis Weyel.

Risikobewertungen, Sicherheits-Übungen, Berichtspflichten und mehr auf der Agenda

Mit der Richtlinie über „Netzwerk- und Informationssicherheit 2“ (NIS-2) will die EU die Cybersicherheit in seinen Mitgliedsstaaten stärken und vereinheitlichen. In diesem Zuge hat auch Deutschland ein novelliertes Cyberresilienz-Gesetz entworfen – eben das „NIS2UmsuCG“. Es sieht vor, dass Betriebe aus Sektoren, die als besonders wichtig für das Funktionieren von Wirtschaft und Gesellschaft gelten, unter anderem folgende Vorgaben erfüllen müssen: Risikobewertungen, Sicherheitsvorfälle, Kryptografie, informationstechnologische (IT) Sicherheits­trainings, Sicherheit bei der IT-Beschaffung, Authentifizierung, Beschäftigte mit Zugang zu sensiblen Informationen, Betriebsführung während und nach einem Sicherheitsvorfall, Zulieferkette ­und Wirksamkeit aller dieser Sicherheits­maßnahmen.

„Eine gewisse Blauäugigkeit in Sachen Cybersicherheit“

Diese Vorgaben einzuhalten, werde vielen mittelständischen Unternehmen schwerfallen, schätzt Weyel ein: Nur etwa 20 Prozent der Firmen haben sich auf NIS2 vorbereitet oder damit begonnen. Dies hat eine Stichproben-Umfrage von „Horizon3.ai“ unter 300 größtenteils mittelständischen Unternehmen ergeben. 43 Prozent sind die neuen gesetzlichen Auflagen in Sachen Cybersecurity kein Thema oder sie sehen keinen Handlungsbedarf. 17 Prozent verlassen sich darauf, dass sich ihre Lieferanten und Geschäftspartner entsprechend auf den aktuellen Stand bringen. Auch Erhebungen in Sachsen durch das Cybersicherheits-Netzwerk hatten ergeben, dass der Mittelstand eher unzureichend auf Angriffe aus dem Netz vorbereitet ist.

„Die Ergebnisse lassen auf eine gewisse Blauäugigkeit in Sachen Cybersicherheit schließen“, meint Dennis Weyel, räumt aber auch ein: „Es wird für viele Mittelständler schlichtweg unmöglich sein, sich rechtzeitig um alle NIS2-Belange zu kümmern.“

Autor: Oiger

Quellen: Horizon3.ai, BSI, BMI

Repro: Oiger, Original: Madeleine Arndt