Zwei Monate bis NIS2: Jetzt hilft wohl doch nur noch die Haftungskeule

Der Kunde bleibt stur, zuckt immer noch mit den Schultern? Obwohl doch die NIS2-Richtlinien pünktlich in 7 Wochen in Kraft tritt. Dann hilft IT-Beratern und MSSPs vielleicht ein letzter Versuch, mit bislang wenig beachteten Argumenten sich direkt an Geschäftsführer zu wenden.

Ari Alberti, CEO FTAPI zur kommenden NIS2-Richtlinie, die am 17. Oktober 2024 in Kraft tritt: "Neuen Haftungsregeln und die erweiterten Nachweispflichten stellen Unternehmen vor große Herausforderungen".

Image:
Ari Alberti, CEO FTAPI zur kommenden NIS2-Richtlinie, die am 17. Oktober 2024 in Kraft tritt: "Neuen Haftungsregeln und die erweiterten Nachweispflichten stellen Unternehmen vor große Herausforderungen".

Der Countdown für NIS2 läuft, viele der rund 40.000 in Deutschland betroffenen Unternehmen dürften kurz vor der Umsetzung der am 17. Oktober 2024 in Kraft tretenden IT-Sicherheitsrichtlinie stehen. Zumindest jene Firmen, die sich schon vor Monaten mit den Auswirkungen für sie befasst und zusammen mit ihren für IT-Sicherheit zuständigen Dienstleistern Vorkehrungen getroffen hatten. Diejenigen, die meinten, dass NIS2 verschoben oder der Gesetzgeber doch noch eine großzügige Übergangsfrist setzen würde, müssen dieses Mal feststellen: Nein, beides wird nicht passieren. Wenn man sich in Deutschland aktuell noch auf etwas verlassen kann, dann offenbar auf die pünktliche Einführung neuer Regularien.

Mag die Wirtschaft über erstickende Bürokratie klagen: NIS2 jedenfalls ist angesichts rasant steigender Cyberbedrohungen ein richtiges und wichtiges Gesetz für alle EU-Länder. Das zähe Gesetzgebungsverfahren bei NIS2 hierzulande, mit Änderungen quasi im Zieleinlauf, ist freilich handwerklicher Pfusch.

Erst im Juli 2024 konnte die Bundesregierung das "Gesetz zur Umsetzung von EU NIS2 und zur Stärkung der Cybersicherheit" verabschieden. Es bildet die Grundlage für die zukünftige Cybersicherheit in Deutschland – mit bestehenden Gesetzen wie dem IT-Sicherheitsgesetz 2.0.

Mit dem neuen Gesetz NIS2 kommen auf viele Unternehmen strengere Cybersicherheitsanforderungen. "Doch es gibt noch offene Fragen und neue Entwicklungen, die bisher wenig Beachtung gefunden haben", sagt Ari Alberti vom Softwareunternehmen FTAPI. Der CEO des auf Lösungen für Daten-Workflow und Automatisierung spezialisierten Unternehmens macht auf einige Aspekte aufmerksam, die in der heißen und langen Diskussion um NIS2 seiner Ansicht nach zu wenig Beachtung gefunden haben. Teils deswegen, weil einige Bestimmungen erst kurz vor Beginn der Sommerferien in einigen Bundesländern verabschiedet wurden, die Eingang in das NIS2-Gesetz gefunden haben.

Die von Alberti ins Feld geführten Aspekte der NIS2-Regelung könnten im besten Fall Security-Dienstleistern dienen, einen letzten Versuch bei renitenten Kunden aus dem Mittelstand zu unternehmen, mit ihnen doch noch über NIS2 zu sprechen, bzw. über die mit den neuesten Änderungen notwendig gewordenen Updates. Wenn alles nichts nützt, dann hilft vielleicht noch: die Haftungskeule hervorholen und die persönliche Geschäftsführerhaftung thematisieren. Die ist nicht neu, und wahrscheinlich wird es nach dem 17. Oktober 2024 noch viele Monate oder gar ein Jahr oder länger dauern, bis erste Gerichte persönliche Strafen wegen Missachtung des NIS2-Gesetzes aussprechen.

Also besser Vorsorgen, und zwar in diesen Punkten, wie Ari Alberti darlegt:

Unterschätztes Risiko der Nachweispflichten

Während sich viele Diskussionen um die umfangreichen neuen Sicherheitsmaßnahmen drehen, bleibt ein Aspekt oft unbeachtet: Die erheblich ausgeweiteten Nachweispflichten. Unternehmen müssen zukünftig nicht nur umfassend dokumentieren, welche Sicherheitsmaßnahmen sie umgesetzt haben, sondern auch nachweisen, dass diese Maßnahmen wirksam sind. Dies wird insbesondere für mittelständische Unternehmen, die bisher keine umfangreichen Compliance-Strukturen haben, eine große Herausforderung darstellen.

Kleine und mittelständische Unternehmen verfügen häufig nicht über die notwendigen Ressourcen, die für eine detaillierte Dokumentation und kontinuierliche Überwachung von Sicherheitsmaßnahmen erforderlich ist. Begrenztes Personal, knappe IT-Budgets und komplexe regulatorische Anforderungen führen dazu, dass interne Prozesse grundlegend angepasst werden müssen.

Neue EU-weite Standards im Fokus

Interessant und bisher wenig diskutiert ist die Rolle der neuen EU-weiten Standards, die durch die NIS-2-Richtlinie etabliert werden sollen. Die EU-Kommission hat angekündigt, bis Oktober 2024 einen spezifischen Implementierungsakt zu verabschieden, der verbindliche technische Anforderungen für verschiedene Sektoren festlegt. Dazu zählen Cloud-Dienste, soziale Netzwerke und Betreiber von Online-Marktplätzen. Diese europaweit einheitlichen Standards könnten in einigen Fällen die nationalen Anforderungen überlagern und werden daher eine entscheidende Rolle für die betroffenen Unternehmen spielen.

Besonders für die Geschäftsführung wird es ernst

Ein Aspekt, der ebenfalls noch nicht flächendeckend thematisiert wurde, ist die Einführung von persönlichen Haftungsrisiken für Geschäftsführer. Dies geht weit über die bisher üblichen Compliance-Vorgaben hinaus. Sollte ein Unternehmen die neuen Anforderungen nicht erfüllen, drohen nicht nur dem Unternehmen selbst, sondern auch den Geschäftsverantwortlichen empfindliche Strafen. Die NIS-2-Richtlinie sieht Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist.

Die NIS-2-Richtlinie bringt einen deutlichen Paradigmenwechsel für die Cybersicherheit in Deutschland. Insbesondere die neuen Haftungsregeln und die erweiterten Nachweispflichten stellen Unternehmen vor große Herausforderungen. Es ist entscheidend, dass Unternehmen jetzt handeln und ihre Sicherheitsstrategien anpassen. Sie sollen dabei nicht nur gesetzeskonform agieren, sondern sich auch in Zeiten wachsender Cyberbedrohungen zukunftssicher aufstellen.

Handlungsempfehlungen für Unternehmen

1. Überprüfung und Aktualisierung von Cybersicherheitsstrategien: Unternehmen sollten ihre bestehenden Sicherheitskonzepte jetzt auf die neuen Anforderungen der NIS-2-Richtlinie hin überprüfen und aktualisieren. Insbesondere die Vorgaben zur Risikoanalyse, Incident Response und Dokumentation müssen an die neuen Standards angepasst werden.

2. Schulung und Sensibilisierung der Geschäftsführung: Angesichts der neuen Haftungsrisiken ist es unerlässlich, dass die Geschäftsführung umfassend über ihre Pflichten und Verantwortlichkeiten informiert ist. Schulungen zu den rechtlichen Anforderungen und zu den konkreten Sicherheitsmaßnahmen sind dringend zu empfehlen.

3. Implementierung von Compliance- und Reporting-Tools: Die erweiterten Nachweispflichten erfordern den Einsatz von spezialisierten Tools, die eine lückenlose Dokumentation und Berichterstattung ermöglichen. Unternehmen sollten geeignete Softwarelösungen implementieren, um diese Anforderungen effizient zu erfüllen.

4. Zusammenarbeit mit externen Experten: Gerade für mittelständische Unternehmen, die möglicherweise nicht über die internen Ressourcen verfügen, kann die Zusammenarbeit mit externen Cybersicherheits- und Compliance-Experten entscheidend sein. Diese können helfen, die neuen Vorgaben in die Praxis umzusetzen und Risiken zu minimieren.

Noch zwei Monate bis zur Umsetzung

Während die Frist zur Umsetzung der NIS-2-Richtlinie näher rückt, sollten Unternehmen diese Zeit nutzen, um ihre Sicherheitsstrategien zu überprüfen und anzupassen. Insbesondere die erweiterten Nachweispflichten und die neue persönliche Haftung der Geschäftsführung machen ein proaktives Handeln unerlässlich.