Sicherheitsexperte: Neues Cyberabwehr-Gesetz trifft 30.000 Firmen in Deutschland
Prognose: Viele im Mittelstand werden „NIS2UmsuCG“ kaum erfüllen können
Berlin/Frankfurt am Main, 11. Juli 2024. Der Vorschriften-Dschungel für den Mittelstand wächst weiter: Künftig müssen weit mehr Unternehmen als bisher die Cybersicherheits-Vorgaben und Meldepflichten des neuen „Netzwerk- und Informationssicherheit-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes“ (NIS2UmsuCG) erfüllen. Darauf hat Technikdirektor Dennis Weyel vom Sicherheitssoftware-Unternehmen „Horizon3.ai“ aus Frankfurt am Main hingewiesen. Dies werde rund 30.000 Unternehmen in Deutschland betreffen – und zwar auch jenseits der im Gesetz genannten „kritischen“ Branchen.
40 % der Firmen über 50 Mitarbeiter bekommen neue Pflichten
Laut Dennis Weyel gehen weite Teile vor allem der mittelständischen Wirtschaft davon aus, von NIS2 nicht betroffen zu sein, weil die neue Richtlinie nur für die Betreiber sogenannter „Kritischer Infrastrukturen“ (Kristis) gelte. „Das ist ein Irrtum. In Wirklichkeit unterliegen rund 40 Prozent aller Firmen ab 50 Beschäftigte in Deutschland den NIS2-Regularien“, sagt Dennis Weyel. Unter die Richtlinie fallen nämlich nicht nur die Unternehmen in den vom Gesetzgeber genannten Branchen, sondern auch alle Zulieferer und Dienstleister dazu.
Auch wer „kritische Branchen“ nur beliefert, muss neue Auflagen erfüllen
Zu den kritischen Wirtschaftssegmenten, die sich besonders gegen Cyberangriffe schützen, dafür ihre Mitarbeiter schulen, all dies dokumentieren und weitere Vorgaben erfüllen müssen, gehören laut dem aktuellen Referenten-Entwurf folgende Branchen: Abfall- und Abwasserwirtschaft, Bankwesen, Chemie, digitale Infrastruktur, Energiewirtschaft, Finanzwesen, Forschung, Gesundheitswesen, IKT-Dienstleistungen, Lebensmittel, Medizinprodukte, Öffentliche Verwaltung, Post- und Kurierdienste, Transport, Trinkwasser, Weltraum, Maschinen, Fahrzeuge und elektrische/elektronische Geräte. „Firmen, die Unternehmen aus einer dieser Branchen im Kundenkreis haben, sollten sich auf jeden Fall auf NIS2 vorbereiten“, rät Dennis Weyel.
Risikobewertungen, Sicherheits-Übungen, Berichtspflichten und mehr auf der Agenda
Mit der Richtlinie über „Netzwerk- und Informationssicherheit 2“ (NIS-2) will die EU die Cybersicherheit in seinen Mitgliedsstaaten stärken und vereinheitlichen. In diesem Zuge hat auch Deutschland ein novelliertes Cyberresilienz-Gesetz entworfen – eben das „NIS2UmsuCG“. Es sieht vor, dass Betriebe aus Sektoren, die als besonders wichtig für das Funktionieren von Wirtschaft und Gesellschaft gelten, unter anderem folgende Vorgaben erfüllen müssen: Risikobewertungen, Sicherheitsvorfälle, Kryptografie, informationstechnologische (IT) Sicherheitstrainings, Sicherheit bei der IT-Beschaffung, Authentifizierung, Beschäftigte mit Zugang zu sensiblen Informationen, Betriebsführung während und nach einem Sicherheitsvorfall, Zulieferkette und Wirksamkeit aller dieser Sicherheitsmaßnahmen.
„Eine gewisse Blauäugigkeit in Sachen Cybersicherheit“
Diese Vorgaben einzuhalten, werde vielen mittelständischen Unternehmen schwerfallen, schätzt Weyel ein: Nur etwa 20 Prozent der Firmen haben sich auf NIS2 vorbereitet oder damit begonnen. Dies hat eine Stichproben-Umfrage von „Horizon3.ai“ unter 300 größtenteils mittelständischen Unternehmen ergeben. 43 Prozent sind die neuen gesetzlichen Auflagen in Sachen Cybersecurity kein Thema oder sie sehen keinen Handlungsbedarf. 17 Prozent verlassen sich darauf, dass sich ihre Lieferanten und Geschäftspartner entsprechend auf den aktuellen Stand bringen. Auch Erhebungen in Sachsen durch das Cybersicherheits-Netzwerk hatten ergeben, dass der Mittelstand eher unzureichend auf Angriffe aus dem Netz vorbereitet ist.
„Die Ergebnisse lassen auf eine gewisse Blauäugigkeit in Sachen Cybersicherheit schließen“, meint Dennis Weyel, räumt aber auch ein: „Es wird für viele Mittelständler schlichtweg unmöglich sein, sich rechtzeitig um alle NIS2-Belange zu kümmern.“
Autor: Oiger
Quellen: Horizon3.ai, BSI, BMI
Ihre Unterstützung für Oiger.de!
Ohne hinreichende Finanzierung ist unabhängiger Journalismus nach professionellen Maßstäben nicht dauerhaft möglich. Bitte unterstützen Sie daher unsere Arbeit! Wenn Sie helfen wollen, Oiger.de aufrecht zu erhalten, senden Sie Ihren Beitrag mit dem Betreff „freiwilliges Honorar“ via Paypal an:
Vielen Dank!
