NIS2 - Strenge Cyber-Sicherheitsanforderungen an große Teile des deutschen Mittelstands

Die Netz- und Informationssicherheit spielt eine zunehmend wichtige Rolle. Nicht nur für Staaten selbst, sondern auch für Unternehmen und somit Genossenschaften. Nun hat die EU mit der NIS2-Richtlinie neue Vorgaben auf den Weg gebracht, die Unternehmen künftig erfüllen müssen. Im Gespräch mit Christian Dicke, Director unserer IT-Spezialisten im gemeinsamen Vertical Mittelstand mit unserem Netzwerkpartner, dem Genoverband – Verband der Regionen e.V., ordnen wir die neue NIS2-Richtlinie und ihre Auswirkungen für Sie ein.

Hallo Christian. Wir möchten heute über die Auswirkungen von NIS2 auf den deutschen Mittelstand, insbesondere Genossenschaften, sprechen. Was genau ist NIS2?

Christian Dicke: NIS2 ist die Abkürzung für die zweite Richtlinie zur Netz- und Informationssystemsicherheit der Europäischen Union. Sie dient dazu, die Sicherheit von Netz- und Informationssystemen in der EU zu erhöhen und folgt der ersten NIS-Richtlinie. Der europäische Gesetzgeber hat den Mitgliedsstaaten bis zum 17. Oktober 2024 Zeit gegeben, die NIS-2-Richtlinie in nationales Recht umzusetzen. Das Gesetz liegt Stand Juli 2023 als zweiter Referentenentwurf vor, es muss nach Abstimmung in der Bundesregierung noch die Gesetzgebung auf Bundesebene durchlaufen. Die Uhr tickt also!

Wie betrifft NIS2 den deutschen Mittelstand?

Christian Dicke: NIS2 hat einen breiteren Anwendungsbereich als die erste Richtlinie und erfasst damit mehr Unternehmen. Es geht um kritische Sektoren wie Energie, Verkehr, Gesundheit, Lebensmittelhandel und -erzeugung sowie um digitale Diensteanbieter. Für den deutschen Mittelstand bedeutet das, dass viel mehr Unternehmen sich an strenge Sicherheitsanforderungen halten und regelmäßige Berichte über deren Einhaltung vorlegen müssen.

Und wie sieht das speziell für Genossenschaften aus?

Christian Dicke: Genossenschaften könnten, je nach ihrer Tätigkeit, ebenfalls von NIS2 betroffen sein. Insbesondere, wenn sie in einem der als kritisch eingestuften Sektoren tätig sind. Das kann zum Beispiel eine Agrar- oder Energiegenossenschaft sein. Die Anforderungen können von regelmäßigen Sicherheitsüberprüfungen bis hin zu Meldepflichten bei Sicherheitsvorfällen reichen. Schon ab 50 Mitarbeitenden und 10 Millionen Euro Umsatz fällt ein Unternehmen unter die Anforderungen der NIS2, sofern es in einen der regulierten Sektoren fällt.

Das klingt nach viel Aufwand. Wie können sich Unternehmen und Genossenschaften darauf vorbereiten?

Christian Dicke: Es ist definitiv eine Herausforderung, bei der wir unsere Mandanten natürlich nicht alleine lassen. Unternehmen sollten zuerst ggf. unter Zuhilfenahme eines Beraters/einer Beraterin herausfinden, ob und wie sie von NIS2 betroffen sind. Dann sollten sie ihre aktuellen Sicherheitssysteme überprüfen und gegebenenfalls anpassen. Es wäre auch ratsam, externe Berater/Beraterinnen oder Auditoren/Auditorinnen hinzuzuziehen, um die Konformität sicherzustellen. Hierbei können wir mit unserem erfahrenen Team unterstützen. Eine erste Indikation, ob man als Unternehmen betroffen sein könnte, liefert bspw. ein von meinem Kollegen Silas Kämpchen entwickeltes und gerade online gestelltes Tool (Anm. d. Red. Das Tool finden Sie hier: Zur Leistungsseite

Gibt es auch positive Aspekte für Unternehmen?

Christian Dicke: Auf jeden Fall! Ein höheres Sicherheitsniveau kann das Vertrauen von Kunden/Kundinnen und Partnern stärken. Außerdem können Unternehmen durch die Implementierung dieser Standards potenzielle Sicherheitsbedrohungen frühzeitig erkennen und sich davor schützen. Kommt es zu einem Sicherheitsvorfall, so sind im Zweifel die Folgekosten geringer, sofern man richtig vorgesorgt hat.

Abschließend, was würden Sie Unternehmen und Genossenschaften raten, die sich Sorgen um NIS2 machen?

Christian Dicke: Wichtig ist, nicht in Panik zu geraten. Der erste Schritt sollte immer eine gründliche Bestandsaufnahme und Risikobewertung sein. Und sie sollten sich Unterstützung holen, wenn sie unsicher sind. Die Einhaltung von NIS2 kann zwar herausfordernd sein, aber es ist machbar und letztendlich zum Vorteil des Unternehmens.

Vielen Dank für dieses aufschlussreiche Interview, Christian!