Cybersicherheit

NIS2 hebt die Messlatte für deutsche Infrastrukturbetreiber

Die europäische NIS2-Richtlinie erweitert die Cybersicherheitspflichten auf deutlich mehr Unternehmen als die Vorgängerregelung. Viele mittelgroße Betreiber kritischer Infrastruktur sind darauf noch nicht ausreichend vorbereitet.

By City PM
Serverschränke in einem Rechenzentrum

Die NIS2-Richtlinie der Europäischen Union verfolgt ein einfaches Ziel: die Cybersicherheitsstandards für Betreiber kritischer und wichtiger Infrastruktur EU-weit zu vereinheitlichen und deutlich zu verschärfen. Was sich einfach anhört, hat in der Praxis eine erhebliche Ausweitung des betroffenen Unternehmenskreises zur Folge – von klassischen Energie- und Wasserversorgern bis hin zu Herstellern, Logistikunternehmen und digitalen Dienstleistern, die zuvor gar nicht als kritische Infrastruktur galten.

Für große Energiekonzerne oder Telekommunikationsanbieter, die bereits unter der Vorgängerregelung strenge Auflagen erfüllen mussten, bedeutet NIS2 vor allem eine Verschärfung bestehender Prozesse. Für mittelgroße Unternehmen, die erstmals in den Anwendungsbereich fallen, bedeutet es hingegen, Cybersicherheitsstrukturen oft von Grund auf neu aufzubauen – mit knappen Fristen und einem spezialisierten Fachkräftemarkt, der ohnehin schon angespannt ist.

NIS2 unterscheidet nicht danach, ob ein Unternehmen bereits eine Sicherheitsabteilung hat. Es verlangt nur, dass am Ende eine da ist.

18Sektoren, die NIS2 als kritisch oder wichtig einstuft – deutlich mehr als unter der Vorgängerrichtlinie

Die Haftungsfrage für die Geschäftsführung

Ein Aspekt, der in vielen Vorständen und Geschäftsführungen erst spät auf dem Radar erschien, ist die persönliche Haftung: NIS2 sieht vor, dass die Unternehmensleitung selbst für die Umsetzung angemessener Sicherheitsmaßnahmen verantwortlich gemacht werden kann, nicht nur die IT-Abteilung. Das hat Cybersicherheit in vielen Unternehmen von einem rein technischen Thema zu einem Thema gemacht, das regelmäßig auf Vorstandsebene diskutiert wird.

Für Unternehmen, die erst spät erkannt haben, dass sie in den erweiterten Anwendungsbereich fallen, ist die praktische Priorität klar: eine belastbare Bestandsaufnahme der eigenen Systeme, ein realistischer Zeitplan zur Schließung der größten Lücken und, wo eigenes Fachpersonal fehlt, frühzeitige Zusammenarbeit mit spezialisierten externen Dienstleistern. Wer bis zur letzten Frist wartet, wird feststellen, dass der Markt für qualifizierte Cybersicherheitsberater bereits ausgelastet ist.

Mehr aus dem deutschsprachigen Bereich