NIS-2 Anforderungen: Welche Kosten kommen auf mittelständische Unternehmen zu?
Die neue NIS-2-Richtlinie stellt viele Unternehmen vor erhebliche Herausforderungen. Besonders für mittelständische Unternehmen, die als „wichtige Einrichtungen“ gelten, kann die Umsetzung der Anforderungen finanzielle und organisatorische Auswirkungen haben. Doch welche konkreten Kosten kommen auf sie zu, und was bedeutet das für die Informationssicherheit in diesen Unternehmen?
Die Gesetzesfolgen sind unter VI. Im Anhang „Begründung auf der Seite 103 im Regierungsentwurf“ und die Erfüllungsaufwände auf Seite 116 unter Punkt 4. Erfüllungsaufwand beschrieben.
Unter Punkt 4. ist der „Erfüllungsaufwand für die Wirtschaft“ beschrieben. Einleitend wird auch hier auf die Verhältnismäßigkeit in Bezug auf die Risikoexposition, die Größe der Einrichtung sowie die Eintrittswahrscheinlichkeit, die Schwere von Sicherheitsvorfällen und last but not least die gesellschaftlichen und wirtschaftlichen Auswirkungen, verwiesen.
Kostenanalyse: Was fällt bei der Umsetzung der NIS-2-Richtlinie an?
Die Umsetzung der NIS-2-Anforderungen bedeutet für betroffene Unternehmen sowohl einmalige als auch laufende Kosten. Diese setzen sich aus dem Personalaufwand für die Einführung und Anpassung digitaler Prozesse sowie dem Sachaufwand für notwendige Technologien und Infrastruktur zusammen.
Die Kostenannahme geht zum einen von einem einmaligen Erfüllungsaufwand für die „Einführung und Anpassung digitaler Prozessabläufe“ und im Weiteren von jährlichen Zusatzkosten für die „Einhaltung eines Mindestniveaus“ in der gleichen Höhe der einmaligen Einführungskosten.
In der Begründung wird darauf verwiesen, dass es sich mangels verfügbarer Daten um eine Kostenannahme handelt. Hierbei werden 35% der Aufwände kritischer Infrastrukturen zugrunde gelegt. Die Schätzung gibt den jährlichen Aufwand an. Der einmalige Aufwand soll in der Höhe des jährlichen Aufwandes liegen.
Kritische Infrastruktur
| Personalaufwand | 2.752 Stunden | 143.930,00 € |
| Sachaufwand | 60.000,00 € |
Kostenannahme für mittlere Unternehmen die wichtige, als Einrichtung registriert, sind:
| Personalaufwand | 963 Stunden | 50.365,00 |
| Sachaufwand | 21.000,00 |
Einmalige Einführungskosten:
Die einmaligen Kosten umfassen die Einführung und Anpassung digitaler Prozessabläufe. Für mittelständische Unternehmen, die als wichtige Einrichtungen registriert sind, werden die einmaligen Einführungskosten auf etwa **71.365 €** geschätzt, wobei dies zu gleichen Teilen auf Personal- und Sachaufwand entfällt.
Laufende jährliche Kosten:
Für die Einhaltung eines Mindestniveaus an Informationssicherheit entstehen darüber hinaus jährliche Zusatzkosten in gleicher Höhe. Das bedeutet, dass im ersten Jahr ein Gesamtbudget von **142.730 €** und in den Folgejahren **71.365 €** für den Erhalt und die Verbesserung der IT-Sicherheit eingeplant werden sollten.
Einflussfaktoren auf die Kosten: Was bestimmt die tatsächlichen Ausgaben?
Die tatsächlichen Aufwände hängen stark vom aktuellen Sicherheitsstatus des Unternehmens ab. Ein Unternehmen, das bereits einige Maßnahmen umgesetzt hat, kann die Kosten erheblich senken:
- Multifaktor-Authentifizierung:
Wenn bereits eine Multifaktor-Authentifizierung im Einsatz ist, entfallen diese Kosten.
- Notfall-Management:
Ein bestehendes und etabliertes Notfall-Management-System reduziert sowohl Personal- als auch Sachaufwand.
- Geschulte Unternehmensführung und Mitarbeitende:
Sind die Geschäftsführer und Mitarbeitenden in den Themen der Informationssicherheit geschult und gibt es bereits einen nachhaltigen IT-Awareness-Prozess, können sowohl Personal- als auch Sachaufwände weiter reduziert werden.
Empfohlene Schritte für betroffene Unternehmen:
Um sicherzustellen, dass Ihr Unternehmen den NIS-2-Anforderungen entspricht und zugleich die Informationssicherheit verbessert, sollten folgende Schritte berücksichtigt werden:
- Prüfen Sie Ihre Betroffenheit:
Überprüfen oder lassen Sie prüfen, ob Ihr Unternehmen zu den betroffenen Einrichtungen gehört. Denken Sie daran: Informationssicherheit ist immer Chefsache.
- Bewerten Sie Ihren aktuellen Sicherheitsstatus:
Führen Sie eine umfassende Bewertung Ihrer Informationssicherheit durch. Ein unabhängiger Audit kann dabei helfen, Schwachstellen und notwendige Maßnahmen zu identifizieren.
- Holen Sie sich Beratung:
Lassen Sie sich von Experten beraten, um die besten Strategien zur Umsetzung der NIS-2-Anforderungen zu entwickeln und langfristig zu verfolgen.
Fazit: Informationssicherheit als strategische Entscheidung
Die Umsetzung der NIS-2-Anforderungen ist mehr als nur eine gesetzliche Verpflichtung – sie ist eine Investition in die Sicherheit und Zukunftsfähigkeit Ihres Unternehmens. Ein proaktiver Ansatz zur Informationssicherheit kann nicht nur helfen, erhebliche Kosten zu vermeiden, sondern auch das Vertrauen von Kunden und Partnern stärken. Beginnen Sie jetzt mit der Bewertung Ihrer Sicherheitslage und lassen Sie sich von Experten unterstützen, um Ihr Unternehmen sicher und konform aufzustellen.
