Das Bundeskabinett hat am 24.07.2024 das “NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz”, kurz NIS2UmsuCG, beschlossen.
Der Satz mag viele in der deutschen Wirtschaft erschrecken und die Wortschöpfung sowie deren Abkürzung tragen dazu ihr Übriges bei.
“Jetzt haben die sich in der EU wieder etwas einfallen lassen”, “Es ist wieder einmal viel zu bürokratisch und kompliziert”, sind Aussagen von manchen Unternehmenslenkern.
Als ehemaliger geschäftsführender Gesellschafter eines IT-Dienstleistungs-Unternehmen kann ich das verstehen. Die Verantwortung für Geschäftsführer und Vorstände wird immer umfangreicher und die Haftungen nehmen damit weiter zu. Wir müssen uns letztendlich der Verantwortung stellen und uns damit auseinandersetzen.
Im Fall des NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz ist es einfacher als es aussieht, und für jeden Unternehmer ist es leicht zu verstehen und nachzuvollziehen. Wir Unternehmer haben beispielsweise alle die Pflicht ein Brandschutz-Konzept (Mitarbeiter-Unterweisung, Feuerlöscher, Sprinkleranlagen, Brandschutzmelder, etc.) zu haben und das Risiko eines Brandes zu bewerten. Für Chemikalienhandel in einem Wohngebiet ist die Relevanz wahrscheinlich höher als für die Autowerkstatt auf dem Land.
Für die Folgen eines Brandes auf unserem Firmengelände sind wir als Unternehmer selbst verantwortlich. In dem Falle hilft die Feuerwehr und Feuerversicherung, Betriebsunterbrechungsversicherung oder Inhaltsversicherung. Und die fragen, ob alle der Risikoanalyse basierten Schutzmaßnahmen erfolgt sind. Waren Brandmelde- und Sprinkleranlagen in Takt, sind die Mitarbeiter unterwiesen, waren die Feuerlöscher funktionsfähig, etc.?
Für einen “Brand” in unserem Informationsnetzwerk gelten die gleichen Schutz-Maßnahmen:
- Risikobewertung, Schutz aufbauen /technisch, organisatorisch und Compliance, Mitarbeiter unterweisen, sensibilisieren und informieren.
Wir schalten im Falle des Cyberangriffs die Cyber-Polizei und auch die Cyber-Versicherung ein. Wir müssen im Schadenfall Fragen beantworten, ob technische und organisatorische Maßnahmen getroffen wurden. Ist die Firewall richtig konfiguriert und bestenfalls gemanaged? Sind die Systeme und Anwendungen aktuell gepatched? Sind die Mitarbeiter unterwiesen? Etc., etc.
NIS-2 hin, NIS-2 her – am Ende sind wir selbst verantwortlich für alle Schäden aus einem Cyberangriff.
Zur Feststellung der NIS-2-Relevanz ist im Kapitel 1 Anwendungsbereiche unter §28 der Rahmen definiert. Da ist von “besonders wichtigen” und “wichtigen” Einrichtungen die Rede. Welchem Bereich mein Unternehmen zuzuordnen ist und ob mein Unternehmen gemäß dem §33 registrierungspflichtig ist, muss ich selbst einschätzen.
Für „besonders wichtige Einrichtungen” ist das relativ einfach festzustellen:
- Energieversorgungsunternehmen, Telekommunikationsanbieter, IT-Dienstleistungsunternehmen wie Managed Security Service Provider, und einige mehr. Das Gesetz beschreibt das in §28 detailliert.
- Für „wichtige Einrichtungen” kann es schwieriger sein. Das BSI – das Bundesamt für Sicherheit in der Informationstechnik – hat deshalb einen Fragebogen zur “Betroffenheitsprüfung” auf seine Seiten gestellt: BSI – NIS-2-Betroffenheitsprüfung (bund.de)
Unternehmer können sich vom BSI, von IT-Sicherheitsberatern, Juristen und den Kammern beraten lassen.
Sinnvoll ist eine Unternehmens-interne Diskussion. Denn für die Sicherheit und die Risiko-Bewertung ist der Chef zwar am Ende allein verantwortlich, dennoch ist eine Einbeziehung des gesamten Führungskreises und ggfls. einzelner Mitarbeiter im Sinne der Awareness die richtige Maßnahme.
Entscheidend und hilfreich kann die Diskussion mit Kunden sein. Denn diese sind ja wie wir selbst, Teil einer Lieferkette und auch Teil der Gesellschaft. Und um deren Schutz geht es unter anderem inhaltlich in der NIS-2-Richtlinie.
Wie wäre es, wenn Unternehmer ihre Kunden fragen:
- Wie wichtig bin ich mit meinem Unternehmen für die Lieferfähigkeit an deine Kunden?
- Wie wichtig und relevant sind deine und/oder die Produkte deiner Kunden für die Gesellschaft?
Was würden wir bei der Beantwortung dieser Frage alles erfahren?
- Hat der Kunde andere Lieferanten für mein Liefersortiment?
- Welche Bedeutung hat mein Unternehmen für meinen Kunden und
- welche Bedeutung haben meine Produkte für die Kunden meines Kunden?
- Welche Bedeutung hat mein Unternehmen für die Gesellschaft?
Sie interessieren sich für eine NIS-2-Beratung für Unternehmer? Hier finden Sie zu uns oder vereinbaren Sie doch gleich hier Ihren individuellen Beratungstermin
