Dringender Handlungsbedarf bis Oktober Wie bereit ist Deutschland für NIS2?

Die Uhr tickt: die Deadline für die Umsetzung der EU-Richtlinie NIS2 rückt immer näher. Stichtag ist der 17. Oktober 2024. Durch die Richtlinie soll die Cybersicherheit in der gesamten EU gestärkt und insbesondere die kritische Infrastruktur besser geschützt werden. Wie gut deutsche Unternehmen hier bereits kurz vor der dem offiziellen Umsetzungsdatum aufgestellt sind, wird im Folgenden untersucht.

Wo ist sie nur, die deutsche „Pünktlichkeit“? Deutsche Unternehmen, insbesondere der Mittelstand, sind auf die kommenden Herausforderungen durch die NIS2-Richtlinie schlecht vorbereitet. Gut die Hälfte aller Entscheider in Organisationen mit mehr als 50 Mitarbeitern, die NIS-relevant sein könnten, wissen laut einer YouGov Erhebung nicht einmal, welche Anforderungen auf sie zukommen. Die Bußgelder in Höhe von bis zu 10 Millionen Euro bzw. zwei Prozent des weltweiten Jahresumsatzes, die bei Verstoß drohen, können gerade für den Mittelstand existenzbedrohend sein.

Kostenloses eBook „In zehn Schritten zur NIS-2-Konformität“

Best-Practice-Leitfaden zur NIS-2-Richtlinie

Auf Spurensuche: Die Kluft in deutschen Unternehmen ist immer noch groß

Bei der Entwicklung eines Systems stellt die Berücksichtigung von Sicherheitsaspekten einen erheblichen zusätzlichen Aufwand dar. Sicherheit von Anfang an in ein System zu integrieren, ist häufig sehr aufwändig. Denn dies umfasst die Einrichtung von Organisationsstrukturen, die Zuweisung von Verantwortlichkeiten, die Einbeziehung aller Beteiligten sowie die Implementierung technischer Maßnahmen und Kontrollen. Vergleichbar ist dies mit dem Einbau eines Airbags in ein modernes Auto. Was bei einem neuen Auto eigentlich kein Problem ist, stellt bei der Nachrüstung in ein Auto, welches vor der Einführung von Airbags gebaut wurde, eine große Herausforderung dar.

Die Komplexität der Sicherheit wird bereits durch einen kurzen Blick auf die vielen Sicherheitsaspekte deutlich. Der Großteil der europäischen Regularien orientiert sich am sehr ausführlichen NIST Cyber Security Framework und dessen Veröffentlichungen. Allein die Bewertung der aktuellen Sicherheitslage kann Monate in Anspruch nehmen und Kosten in Höhe von mehreren zehntausend Euro verursachen. Ein umfassendes Vorbereitungsprogramm zur Einführung dieser Sicherheitsmaßnahmen erfordert bei einem durchschnittlichen KMU mehrere Jahre.

Weltweite Probleme sichtbar

Es handelt sich nicht allein um ein deutsches Phänomen. Die Sicherheitsintegration sorgt bei Unternehmen weltweit für Kopfzerbrechen. In Deutschland stehen Unternehmen jedoch vor zwei besonderen Hürden: Zum einen fehlen außerhalb der kritischen Infrastrukturen gesetzliche Standards für ganze Branchen wie die Automobil-, Kunststoff-, Lebensmittel- und Getränkeindustrie sowie für Kommunen – insgesamt betrifft dies rund 20.000 Stellen. Kein anderes Land sieht sich einer solchen Mammutaufgabe gegenüber. Zum anderen wurden viele dieser Unternehmen und Strukturen vor dem Internetzeitalter und der digitalen Revolution geschaffen, was ihre Anpassung erschwert. Im Vergleich dazu haben beispielsweise osteuropäische Länder den Vorteil, dass sie weniger in ältere Strukturen investiert haben und ihr Management oft jünger ist, was die Anpassung erleichtern könnte. Sie kämpfen hingegen mit anderen Problemen wie geringer Effizienz und fehlenden Finanzmitteln.

Deutsches Gesetz zur NIS2-Richtlinie verabschiedet

Das Warten auf NIS 2 hat (fast) ein Ende

Die Uhr tickt weiter. Kommt es zu einer Verzögerung von NIS2?

Eine Verzögerung in der Umsetzung steht zwar weiterhin im Raum, hätte aber weitreichende Folgen. Ein europäischer Standard in der Cybersicherheit ist das Ziel, doch Verzögerungen in Deutschland könnten die gesamte Union aus dem Takt bringen oder zu uneinheitlichen Normen führen, was erhebliche Wettbewerbsunterschiede zur Folge hätte. Während einige Unternehmen intensiv in Cybersicherheit investieren, zögern andere, wodurch die Lieferketten insgesamt anfälliger werden. Schwachstellen in einem Teil der Kette gefährden die gesamte Struktur. Zudem könnten Fachwissen und Know-how in stärker investierte Bereiche abwandern, was deutsche Unternehmen benachteiligen würde, da Experten sich auf andere Märkte konzentrieren könnten.

Dringender Handlungsbedarf für Unternehmen bis Oktober

Eines ist sicher: mit NIS2 werden die Anforderungen an die Cybersicherheit deutlich erhöht. Viele betroffene Unternehmen haben NIS2 bis heute nicht auf dem Radar – was sich schnellstmöglich ändern muss. So rückt der Stichtag für die Umsetzung der NIS2-Anforderungen, der 17. Oktober 2024, immer näher und doch in weite Ferne. Es bleibt abzuwarten, wie es weitergeht. Wir blicken gebannt Richtung 17. Oktober. Klar ist aber auch: Wer die Vorgaben nicht erfüllt, riskiert empfindliche, mitunter sogar existenzbedrohende, Strafen.

Über den Autor: Gergely Lesku ist CEO bei Socwise.

(ID:50146568)