Vorrausichtliche Lesezeit: 4 Minuten
Was Unternehmen bis zum 17. Oktober 2024 wissen müssen – Ein Gespräch mit Benjamin Richter
Am 17. Oktober 2024 tritt ein bedeutendes Ereignis für alle EU-Mitgliedsstaaten ein: die Umsetzung der NIS2-Richtlinie in nationales Recht. In Deutschland ist bislang nur ein weiterer Referentenentwurf des Bundesministeriums des Innern und für Heimat vorhanden, mit dem Ziel, das Gesetzgebungsverfahren bis Sommer 2024 zu beginnen und spätestens 2025 abzuschließen.
Benjamin, der 17. Oktober rückt näher und viele Unternehmen sind sich noch unsicher, ob sie betroffen sind. Welche Maßnahmen empfiehlst Du?
Benjamin Richter: „Trotz möglicher Verzögerungen in der deutschen Gesetzgebung ist es wichtig, dass Unternehmen umgehend ihre Compliance-Anforderungen klären. Projekte zur Umsetzung von NIS2 können mehrere Monate dauern, besonders für große Unternehmen, die bisher Cyber-Sicherheit nicht priorisiert haben. Hilfreiche Tools wie das Quiz von rayzr.tech können hier schnell Klarheit schaffen.“
Vielfach wird angenommen, dass ohne deutsche Gesetzgebung keine Eile geboten ist. Was passiert aber wirklich am 17. Oktober?
Benjamin Richter: „Viele Sicherheitsberater sind der Meinung, dass der Fristtermin nicht eingehalten wird. Dennoch sollten Unternehmen die verbleibende Zeit nutzen und bereits intensiv an der Umsetzung der Richtlinie arbeiten.
Sobald klar ist, dass ein Unternehmen betroffen oder wahrscheinlich betroffen ist, rate ich immer dazu, sich nah an der EU-Direktive zu orientieren.
Denn auch wenn es zum Stichtag noch keine deutsche Auslegung geben wird, gilt die EU-Richtlinie für deutsche Unternehmen. Übrigens: Eine Abschwächung der nationalen Umsetzung (auf die wohl einige hoffen), ist rechtlich gar nicht möglich. Die deutsche Auslegung kann höchstens strenger ausfallen.
Außerdem gilt es eines zu bedenken: Mit geschätzten 30.000 betroffenen Unternehmen in Deutschland ist das eine ganze Menge. Auf der anderen Seite sind Berater und Unternehmen, die das ganze auch umsetzen können rar gesät. NIS 2 ist komplex, und übersteigt definitiv die Fähigkeiten vieler klassischer Systemhäuser.“
Wie wird die Einhaltung der NIS2-Richtlinie durchgesetzt?
Benjamin Richter: „Zukünftig wird es regelmäßige Stichproben bei betroffenen Unternehmen geben. Für wesentliche oder wichtige Einrichtungen erfolgen die Überprüfungen durch die zuständigen nationalen Behörden, ähnlich dem Vorgehen bei Datenschutzbehörden. Es wird erwartet, dass das BSI diese Aufgaben übernimmt.“
Wird es eine Schonfrist geben?
Benjamin Richter: „Es gibt keine offizielle Schonfrist. Die Richtlinie muss sofort zum festgelegten Termin, dem 17. Oktober 2024 umgesetzt werden, jedoch ist zu erwarten, dass offizielle Audits erst in zwei oder drei Jahren beginnen.“
Wie aufwendig ist es, NIS2-konform zu werden?
Benjamin Richter: „Der Aufwand hängt stark von der Unternehmensgröße und der Komplexität der IT-Infrastruktur ab. Es kann von einigen Wochen bis zu mehreren Monaten dauern, bei sehr großen Unternehmen sogar über ein Jahr. Je nachdem, wie viele interne und externe Ressourcen für das Projekt eingesetzt werden können.“
Was rätst Du betroffenen Unternehmen, die sich noch nicht mit NIS2 beschäftigt haben?
Benjamin Richter: „Auf jeden Fall sollten Sie das Projekt so schnell wie möglich priorisieren und bei den relevanten Stakeholdern für Sensibilisierung sorgen. Die verbleibende Zeit sollte effizient genutzt werden. Parallel dazu empfehle ich, sowohl auf Quick-Wins (z.B. User Awareness) als auch auf langfristige Maßnahmen wie die Netzwerksegmentierung zu setzen, welche den Einsatz zahlreicher IT-Mitarbeiter erfordert.“
Du bist ja schon lange in dieser Branche tätig … Ist NIS2 nur der Anfang? Wie siehst du die Entwicklungen in der Gesetzgebung in den nächsten 3 bis 5 Jahren? Ist mit einer weiteren Verschärfung zu rechnen?
Benjamin Richter: „Nach der Einführung von NIS2 ist es sehr wahrscheinlich, dass in den kommenden Jahren NIS3 und später auch NIS4 folgen werden. Solange Unternehmen nicht eigenständig für einen hohen Sicherheitsstandard sorgen, wird die Politik entsprechende Maßnahmen vorschreiben. Daher wird kein Unternehmen und kein Geschäftsführer diesen Herausforderungen entgehen können. Die derzeit diskutierten Haftungsverpflichtungen für das Top-Management bestätigen diese Entwicklung weiter.“
Fazit:
Angesichts der Einführung der NIS2-Richtlinie und möglicher zukünftiger Gesetzesverschärfungen ist es für Unternehmen entscheidend, jetzt zu handeln. Die Anpassung an diese Vorschriften sollte als Möglichkeit zur Stärkung der internen Sicherheitsstrukturen und des Vertrauens in die digitale Infrastruktur angesehen werden. Es ist wichtig, diese Entwicklungen ernst zu nehmen und in die Sicherheitsstrategie zu investieren. Dabei wird die Zukunft der Cybersicherheit sowohl durch technologische Fortschritte als auch durch proaktive Gesetzgebung bestimmt, die keinen Raum für Nachlässigkeit lässt.
Nutzen Sie unsere Expertise und Ressourcen, um sich optimal auf die kommenden Anforderungen vorzubereiten und Ihre Cybersicherheit zu verstärken. Besuchen Sie uns regelmäßig, um aktuelle Informationen und praktische Tipps zu erhalten, die Ihr Unternehmen sicherer machen.
Hinterlassen Sie uns Feedback zum
Beitrag. Wir würden uns freuen!