Aufklärung auf den letzten Drücker
Nur 20 Prozent der Firmen sind auf NIS2 vorbereitet. Die "Blauäugigkeit in Sachen Cybersicherheit", die Dennis Weyel von Horizon3.ai vor allem mittelständischen Unternehmen attestiert, könnte sich ab Oktober rächen, wenn die neue Sicherheitsanforderung NIS2 in Kraft tritt.
Eine Stichprobe unter 300 vor allem mittelständischen Unternehmen im Auftrag von Horizon3.ai förderte zutage, dass lediglich 20 Prozent der Firmen bereits Maßnahmen ergriffen haben, um NIS2 zu genügen. Ein weiteres Viertel gab an, dass ihnen die neuen Sicherheitsanforderungen zumindest "teilweise bekannt" seien und sie entsprechende Maßnahmen planten.
Erstaunlich ist, dass für 43 Prozent der deutschen Unternehmen die mit NIS2 verbundenen neuen gesetzlichen Auflagen für ein höheres IT-Schutzniveau "kein Thema" ist, beziehungsweise Firmen keinen Handlungsbedarf sehen würden. Dennis Weyel von Horizon3.ai reibt sich immer noch die Augen, denn 17 Prozent der von seiner Firma Befragten würden sich schlichtweg darauf verlassen, "dass sich ihre Lieferanten und Geschäftspartner entsprechend auf den aktuellen Stand bringen".
Der International Technical Director mit Zuständigkeit für Europa beim Sicherheitsunternehmen Horizon3.ai schätzt, dass rund 30.000 Unternehmen in Deutschland vom NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) betroffen sind. Im Oktober tritt das Gesetz in Kraft. Und obwohl Experten der IT-Sicherheits- und -dienstleistungsbranche seit Monaten unisono warnen, dass die Zeit dränge, reagieren die meisten Entscheidungsträger wie das bekannte japanische Drei-Affen-Motiv: nichts sehen, nichts hören, nichts sagen.
"Die Ergebnisse lassen auf eine gewisse Blauäugigkeit in Sachen Cybersicherheit schließen", schlussfolgert Weyel und stellt fest: "Es wird für viele Mittelständler schlichtweg unmöglich sein, sich rechtzeitig um alle NIS2-Belange zu kümmern."
40 Prozent aller Firmen ab 50 Beschäftigte sind betroffen
Nach Einschätzung von Weyel gehen weite Teile vor allem der mittelständischen Wirtschaft davon aus, von NIS2 nicht betroffen zu sein, weil die neue Richtlinie nur für die Betreiber sogenannter Kritischer Infrastrukturen (KRITIS) gelte. "Das ist ein Irrtum. In Wirklichkeit unterliegen rund 40 Prozent aller Firmen ab 50 Beschäftigte in Deutschland den NIS2-Regularien", sagt er. Unter die Richtlinie fallen nämlich nicht nur die Unternehmen in den vom Gesetzgeber genannten Branchen, sondern auch alle Zulieferer und Dienstleister dazu.
Die betroffenen Branchen sind Abfall- und Abwasserwirtschaft, Bankwesen, Chemie, digitale Infrastruktur, Energiewirtschaft, Finanzwesen, Forschung, Gesundheitswesen, IKT-Dienstleistungen, Lebensmittel, Medizinprodukte, Öffentliche Verwaltung, Post- und Kurierdienste, Transport, Trinkwasser, Weltraum, Maschinen, Fahrzeuge und elektrische/elektronische Geräte. "Firmen, die Unternehmen aus einer dieser Branchen im Kundenkreis haben, sollten sich auf jeden Fall auf NIS2 vorbereiten", empfiehlt Dennis Weyel.
Verbände sehen NIS2 positiv
Im vergangenen Jahr ist der deutschen Wirtschaft allein durch Cyberattacken laut dem ITK-Branchenverband Bitkom ein Schaden in Höhe von 148,2 Mrd. Euro entstanden. Tendenz weiter steigend. Der Bitkom, der staatlichen Regulierungen sonst eher ablehnend gegenübersteht, ist von der europäischen Idee für einen ganzheitlichen Regulierungsrahmen für Cybersicherheit überzeugt und begrüßt vor allem, dass den Referentenentwürfen für ein NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) eine einhergehende Verbändeanhörung vorausging.
Auch der Arbeitgeberverband BDI sieht die stetig steigende Cyberbedrohungslage und unterstützt daher das Bestreben, die Cyberresilienz durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz nachhaltig zu stärken.
Aufklärungsarbeit in Sachen NIS2 betreibt auch Der Mittelstand BVMW. Vielleicht ist es ja noch für die Umsetzung noch nicht zu spät, wenn der Verband am 23.Juli ein Webinar veranstaltet und Unternehmen die Angst vor hohen Kosten nimmt. Titel: "NIS-2 im Mittelstand wirtschaftlich umsetzen? Aber sicher!".