NIS2 – Die große Unbekannte mit Hammerpotenzial?

Die Richtlinie der Europäischen Union zur Netzwerk- und Informationssicherheit 2 oder kurz NIS2 regelt zukünftig unter anderem, welche Unternehmen zur kritischen Infrastruktur (KRITIS) gehören. Laut Ingolf Rauh, Head of Product and Innovation Management bei Swisscom Trust Services, könnte sich deren Anzahl durch verschärfte Regularien in Zukunft drastisch erhöhen. Bisher gehören z.B. in Deutschland etwa 4.000 Unternehmen diesem Sektor an. Durch die neue Richtlinie könnte sich diese Zahl nun um den Faktor 10 erhöhen.

Unternehmen, die zu den 18 betroffenen Sektoren zählen und auf mehr als 50 Mitarbeiter oder zehn Millionen Euro Jahresumsatz kommen, müssten künftig verbindliche Cyber-Security-Pflichten umsetzen. Anbieter digitaler Infrastrukturen, wie auch Trust Services, würden unabhängig von ihrer Größe reguliert.

Laut dem Swisscom Trust Services (Website) Experten werde die größten Herausforderung sein, dass die betroffenen Firmen ihre operative Infrastruktur aufwerten, Cyber-Sicherheitsbeauftragte ernennen, ggfs. ein Risiko-Management-System einführen oder ausweiten und IT-Security-Notfallteams mit Meldebereitschaft bilden müssen. Mit dem ohnehin schon leergefegten Markt für IT-Spezialisten kann das schnell zur Hürde werden. Außerdem müssten die Unternehmen, mehr noch als bisher, auf die Auswahl ihrer Partner achten. Verantwortliche müssten sicherstellen, dass auch Dienstleister, mit denen sie zusammenarbeiten, reguliert sind und entsprechende Zertifikate vorweisen können, um die Compliance mit NIS2 sicherzustellen. Auch diese Partner müssten regelmäßig auditiert und in das zu schaffende Meldesystem einbezogen werden.

Und selbst das reiche nicht, und NIS2-regulierte Unternehmen müssen Lösungen finden, wie sie trotz Fachkräftemangel auf die neuen Anforderungen im Bereich IT-Sicherheit reagieren können.

Auf die leichte Schulter nehmen sollte man die neuen Regularien keinesfalls, denn es drohen ähnlich hohe Strafen, wie sie auch im Rahmen der DSGVO verhängt werden können. Außerdem ist eine direkte Haftung der Geschäftsführung für Verstöße vorgesehen..”

Ingolf Rauh Head of Production & Innovation Management bei STS

Laut Rauh wird es höchste Zeit für alle Unternehmen zu prüfen, ob sie eventuell unter die NIS2-Richtlinie fallen und die strengen Anforderungen ab 2024 erfüllen müssen. Falls ja, seien die strategischen Überlegungen umgehend anzustellen – insbesondere die Frage Build oder Buy – und seien entsprechende Roadmaps zu entwickeln und Maßnahmen umzusetzen.ft