Thought Leadership
Seit der Veröffentlichung der NIS2-Richtlinie im EU-Amtsblatt zu Ende Dezember 2022 wurde schon viel darüber geschrieben und spekuliert, wann der allgemeine europäische Rechtsakt zur Cybersicherheit in Deutschland umgesetzt wird und welche Pflichten damit für die betroffenen Unternehmen gelten.
Auf die nationale Umsetzung warten wir zurzeit zwar immer noch, eines ist aber schon jetzt klar: Mit einer Betroffenheit von 30.000 bis 40.000 Firmen allein in Deutschland wird NIS2 ab dem Jahr 2025 die größte Cybersecurity Compliance-Reform mit sich bringen, die es jemals gab.
Wann kommt NIS2?
Über die Frage, wann Unternehmungen in Deutschland mit NIS2 konfrontiert werden, kann man gegenwärtig nur spekulieren: Nach dem Aus der Ampel-Regierung im November wurden zugleich auch viele Pläne der aktuellen Digitalgesetzgebung auf Eis gelegt. So dürfte dem Regierungswechsel aller Wahrscheinlichkeit nach die dringend benötigte Reform des deutschen Computerstrafrechts (Stichwort: Hackerparagraf) zum Opfer fallen, ebenso aber stehen auch das KRITIS-Dachgesetz für den physischen Schutz von Kritischen Infrastrukturen und das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) als nationale Umsetzung der europäischen NIS2-Richtlinie auf der Kippe.
Dennoch ist man sich sowohl in Regierung wie auch im Parlament der herausgehobenen Bedeutung von Cybersicherheit und damit der nationalen Umsetzung von NIS2 bewusst, überdies ist die europäische Umsetzungsfrist bereits seit dem 17. Oktober 2024 abgelaufen. Genügend Gründe also, trotz der angekündigten Neuwahlen nicht zu einem weiteren Verzug in der Umsetzung zu gelangen. NIS2 hat insoweit auch einen Vorteil, weil das NIS2UmsuCG schon vor dem Ende der Regierungskoalition im Gesetzgebungsverfahren schon recht weit gediehen war und die Sachverständigenanhörung im Innenausschuss des Bundestags am 4. November 2024 bereits stattgefunden hat.
Obgleich die Kritik aller Sachverständigen nahezu einhellig deutlich war, bemüht man sich nun um politische Schadensbegrenzung: Der Wille, NIS2UmsuCG noch halbwegs pünktlich „durchzubringen“, dürfte unbestritten sein, dafür müssen aber die notwendigen politischen Mehrheiten gefunden werden. In diesen Zeiten akut schwieriger denn je und die politisch diskutierten Ansätze reichen von einer im Wesentlichen 1:1-Übernahme des Regierungsentwurfs bis zur Übernahme nur derjenigen Kritikpunkte in das zu verabschiedende Gesetz, die politisch durch alle Fraktionen gleichermaßen getragen werden können.
Was kommt mit NIS2?
Mindestens genauso wichtig wie die Frage, wann das Gesetz kommt, ist aber auch die Frage, was mit dem Gesetz kommt. Und hier bringt NIS2 für das kommende Jahr neue Handlungsbedarfe in der betrieblichen IT-Organisation mit sich. Wo einerseits insbesondere IT-Hersteller und Berater mit exorbitanten Bußgeldandrohungen werben, sollte den betroffenen Betrieben aber zunächst vor allem eine Nachricht mit auf den Weg gegeben werden: Auch das BSI hat angekündigt, bei der nationalen Umsetzung von NIS2 einen „kooperativen Ansatz“ zu verfolgen.
Das bedeutet, dass die viel und gerne zitierte Bußgeldkeule nur die ultima ratio ist und die gemeinsame Verbesserung der Cybersicherheit das primäre Ziel sein soll, denn durch Bußgelder allein wird nicht flächendeckend mehr Cybersicherheit geschaffen. Und hier bietet NIS2 durchaus auch Vorteile mit sich: So werden Investitionen in die betriebliche IT-Infrastruktur – die auch die Cybersicherheit umfasst – leichter vor Anteilseignern und Geschäftsleitung verargumentiert werden können. Und auch wenn NIS2 selbst nicht in allen Details beschreibt, was man von den betroffenen sogenannten „wesentlichen“ und „wichtigen“ Einrichtungen im Einzelnen erwartet, so ist doch eines schon jetzt klar: Im Kern geht es um die Ausdehnung des betrieblichen Risikomanagements auch auf die Cybersicherheit, und das ist kein „Hexenwerk“, sondern erfordert ein systematisches und gut strukturiertes Vorgehen zur Analyse der eigenen IT-Landschaft, deren Risikobewertung und dem Einleiten von mitigierenden Maßnahmen, die fortlaufend überwacht werden.
Insoweit kommt es zur erfolgreichen Umsetzung von NIS2 weniger auf einzelne Produkte, sondern vor allem auf funktionierende Prozesse an. Und um hier eines vorweg zu nehmen: Auch der Gesetzgeber und das BSI sind sich bewusst, dass es keine hundertprozentige Cybersicherheit gibt und dass diese dementsprechend nicht zu verlangen sein kann. Was vielmehr gefordert ist, sind belastbar dokumentierte verhältnismäßige Maßnahmen zur Cybersicherheit, die den individuellen betrieblichen Risiken angemessen sind. Und damit gilt für die Umsetzung von NIS2 ab dem kommenden Jahr eine einfache Grundregel: Wer sich ehrlich um Cybersicherheit bemüht, braucht auch keine Sorge vor Bußgeldern zu haben. Und bei Zweifeln darf man ruhig lieber einmal mehr als zu wenig beim BSI nachfragen.
