Cybersicherheit: Weckruf per Gesetz
Viele Unternehmen vernachlässigen das Thema Cybersicherheit, obwohl die Zahl der Angriffe dramatisch zunimmt. Die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit (NIS-2) soll die Betreiber kritischer Infrastrukturen stärker in die Pflicht nehmen. Die Umsetzung der EU-Vorgaben in Deutschland soll im März 2025 – statt wie ursprünglich geplant im Oktober dieses Jahres – abgeschlossen sein. In Ausnahmefällen können auch kleine digitale Dienstleister betroffen sein.
Eigentlich sollte Cybersicherheit auch ohne gesetzliche Vorgaben ganz oben auf der To-do-Liste von Unternehmen stehen – unabhängig von ihrer Größe. Denn wer die Widerstandsfähigkeit seiner Organisation gegen Cyber-Bedrohungen nicht stärkt oder davon ausgeht, dass Standard-Sicherheitsmaßnahmen ausreichen, öffnet Cyber-Kriminellen Tür und Tor. Im schlimmsten Fall kann dies zu Handlungsunfähigkeit, finanziellem Ruin und Vertrauensverlust bei Kunden und Partnern führen.
Wie besorgniserregend die Cybersicherheitslage ist, unterstreicht der neue „Lagebericht der IT-Sicherheit in Deutschland für 2024“ des Bundesamts für Sicherheit in der Informationstechnik (BSI). Das Fazit der Behörde: Die Bedrohungslage im Cyberraum ist so hoch wie nie zuvor. Zunehmend geraten auch mittelständische und kleine Unternehmen ins Visier der Hacker. Verschärft wird die Bedrohungslage durch den Einsatz von KI, die es Kriminellen leichter denn je macht, ihre Methoden zu verfeinern und unentdeckt zu bleiben.
Welche Unternehmen fallen unter die NIS-2-Richtlinie?
Zumindest für den Bereich der Kritischen Infrastrukturen ist die neue NIS-2-Richtlinie ein Weckruf zum Handeln. Die Anforderungen betreffen vor allem mittlere und große Unternehmen, die kritische Dienstleistungen für Wirtschaft und Gesellschaft erbringen und mehr als 50 Mitarbeiter und einen Jahresumsatz von mehr als zehn Millionen Euro haben. Dazu zählen beispielsweise öffentliche Organisationen, der Energie-, Verkehrs- und Finanzsektor, das Gesundheitswesen, digitale Infrastrukturen, IKT-Dienstleister sowie Anbieter digitaler Dienste wie Cloud-Anbieter, Online-Marktplätze und Suchmaschinen.
Auch Kleinunternehmen von kritischer Bedeutung müssen handeln
Grundsätzlich gilt: Kleine Unternehmen (unter 50 Beschäftigte und unter zehn Millionen Euro Jahresumsatz und unter zehn Millionen Euro Jahresbilanzsumme) fallen nicht unter NIS-2. Allerdings ist die Größe des Unternehmens nicht immer entscheidend. In Ausnahmefällen können auch Klein- und Kleinstunternehmen, die die Kriterien „besonders wichtig“ oder „wichtig“ erfüllen, von der neuen Richtlinie betroffen sein – etwa aus dem Bereich der kritischen Infrastrukturen (zum Beispiel Top Level Domain (TLD)-Namenregister, Domain Name System (DNS)-Provider, Vertrauensdienste sowie Anbieter öffentlicher elektronischer Kommunikationsnetze oder elektronischer Kommunikationsdienste).
Was auf die Unternehmen zukommt: Sie müssen unter anderem eine Risikoanalyse und eine regelmäßige Bewertung potenzieller Risiken für das Netzwerk und die Informationssysteme ihrer Organisation durchführen. Sie müssen die Geschäftskontinuität sicherstellen, Lieferketten absichern und ihre Mitarbeiter in Cybersicherheit schulen. Darüber hinaus sind Meldepflichten bei Sicherheitsvorfällen und spezifische Sicherheitsmaßnahmen für IT-Systeme erforderlich. Nicht zuletzt ist eine lückenlose Dokumentation aller Maßnahmen Pflicht, um auskunftsfähig zu sein. Jedes Unternehmen, das unter die NIS-2-Richtlinie fällt, muss mit stichprobenartigen Kontrollen durch die zuständigen Behörden rechnen.
Welche Sanktionen drohen bei Nichteinhaltung?
Bei Verstößen gegen die NIS-2-Richtlinie drohen empfindliche Bußgelder. Sie richten sich nach dem Gesamtumsatz des Unternehmens. Wird dieses als essenziell eingestuft, können bis zu zehn Millionen Euro oder zwei Prozent des gesamten Jahresumsatzes fällig werden. Als „wichtig“ eingestufte Unternehmen können mit bis zu sieben Millionen Euro oder vier Prozent des Jahresumsatzes sanktioniert werden. Diese Beispielsummen zeigen, wie wichtig es für Unternehmen ist, zu prüfen, ob sie die Kriterien für eine NIS-2-Einstufung erfüllen.
Hilfe bei der Betroffenheitsanalyse
Wer sich unsicher ist, ob das eigene Unternehmen von der Richtlinie betroffen ist, kann beim BSI online eine Analyse durchführen. Der anonyme Test bietet in wenigen Schritten eine erste Orientierung anhand konkreter Fragen, die bei der Einordnung des eigenen Unternehmens helfen.
Weitere News aus dieser Kategorie
25. November 2024
Editorial AGEV im Dialog November 2024
Das Entsetzen über den Ausgang der US-Wahl mit ihren gruseligen Folgen und die…
25. November 2024
Kein Recht an den eigenen Daten!?
Ein AGEV-Mitglied wollte seine private Handynummer aus der Bing-Suche löschen…
25. November 2024
Hörtipp: Unternehmer-Podcast „Der Moment“
Weder Innovationen noch Menschen entwickeln sich linear. Im Podcast „Der…