Welche Bedeutung hat die NIS 2-Richtlinie für den Mittelstand?

IT-Special

Interview
Betriebswirtschaft und Management
Digitalisierung
Tim Iglauer, Geschäftsführer der SpediHub GmbH, ist zertifizierter Unternehmensberater, IT-Sicherheitsberater und Experte für Managementsysteme. Im Gespräch mit der Fachzeitschrift Giesserei Praxis erläutert er die neue EU-Richtlinie zur IT-Sicherheit (NIS2) und ihre Relevanz für mittelständische Industriebetriebe.

Herr Iglauer, was ist denn unter der NIS-Richtlinie zu verstehen?

Hinter dem Begriff NIS-Richtlinie steht die europäische Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit. Unternehmen in kritischen Branchen werden dadurch verpflichtet, robuste Cyber-Sicherheitsvorkehrungen umzusetzen. Unternehmen mit weniger als 50 Beschäftigten, deren Jahresumsatz weniger als 10 Millionen Euro beträgt, sind allerdings von der Regel ausgenommen.

Zu den "kritischen" industriellen Sektoren zählen Trinkwasser- und Energieversorgung sowie Verkehr. Weshalb sollte sich nun ein Gießerei mit der Richtlinie beschäftigen?

Angesichts des zunehmenden Risikos hat die Europäische Kommission die NIS-Richtlinie von 2016 überarbeitet, um IT-Sicherheitslücken zu schließen und die Cybersicherheit in Unternehmen zu erhöhen. Auf die NIS1-Richtlinie folgt jetzt NIS2. Für den Mittelstand relevant ist, dass die neue Richtlinie ausgeweitet wird. Zu den wichtigen Sektoren werden zukünftig der gesamte industrielle Sektor sowie der Maschinenbau und Mobility gehören. Allerdings sind die Entwürfe zur NIS2-Richtline noch nicht verbindlich. Bis die neuen Regelungen in nationales Gesetz übernommen und in Kraft getreten sind, kann es noch bis 2024 dauern. 

Die Verhandlungen auf europäischer Ebene über die NIS2-Richtlinie sind bereits abgeschlossen. Kann die neue Richtlinie den Mittelstand tatsächlich besser vor Cyberkriminalität schützen?

Ob sich die Resilienz der Unternehmen durch die neue Richtline tatsächlich erhöht, wird sich zeigen müssen. Allerdings ist die Bedrohung für den industriellen Mittelstand tatsächlich real. In den vergangenen Jahren ist das Ausmaß der Schäden durch Cyberattacken in der deutschen Industrie sichtbar gestiegen. In manchen Unternehmen standen Produktionsanlagen 4 bis 8 Wochen still. Nach Erhebungen des IT-Branchenverbandes Bitkom haben sich die Schäden durch Erpressungssoftware bei deutschen Unternehmen zwischen 2019 und 2022 verdoppelt. Und Mittelständler sind dabei überproportional häufig betroffen.

Steffen Zimmermann vom VDMA beschwert sich, "das Gesetz unterscheidet nicht zwischen Atomtechnologieproduzenten und Backmaschinenherstellern.“ Die neue Richtlinie stößt auf Vorbehalte. Rollt tatsächlich eine Bürokratiewelle auf die Unternehmensführungen zu?

In der Tat soll ein EU-weites zweistufiges Meldewesen implementiert werden. Unternehmen müssen Angriffe innerhalb von 24 Stunden an die zuständige Behörde melden und zusätzlich, spätestens einen Monat nach dem Vorfall, einen ausführlichen Abschlussbericht nachreichen.

Was ist sonst noch neu in NIS2?

Die Meldepflichten und Sicherheitsanforderungen sind strenger. Betroffene Unternehmen werden daher ausreichende Risikomanagementkenntnisse in der Geschäftsführung nachweisen müssen. Kompetenzen sind sowohl im IT-Bereich als auch in der Notfallkommunikation gefordert. Bei Nichteinhaltung der Empfehlungen zum Risikomanagement drohen erhebliche Geldstrafen. Um der Richtlinie zur zügigen Umsetzung zu verhelfen, können Geldbußen bis zu 10 Millionen Euro verhängt werden.

Können denn die Anforderungen von mittelständischen Unternehmen so einfach umgesetzt werden?

Probleme hinsichtlich der Umsetzung sind vor allem bei kleineren Unternehmen zu erwarten. Diese haben häufig nicht einmal einen IT-Leiter und werden auf externe Hilfe angewiesen sein. Oft stellt sich die Frage, an welcher Stellschraube sollte als erstes gedreht werden, um die IT-Sicherheit effizient zu erhöhen. Beginnen diese Unternehmen erst nach Inkrafttreten der Richtlinie damit, sich nach externer Hilfe umzuschauen, womöglich alle gleichzeitig, dann kann es auf dem Markt eng werden. Der allgemeine Fachkräftemangel herrscht auch in der IT-Branche.

Was sollten mittelständische Unternehmen tun?

Unternehmen, die auf externe Unterstützung angewiesen sind, sollten sich möglichst frühzeitig darum bemühen. Vor allem sollten sie sich schon jetzt, unabhängig von der NIS2-Richtlinie, um eine verbesserte Cyberabwehr kümmern. Dadurch schützen sie nicht nur ihre aktuellen Produktionsabläufe und ihre sensiblen Unternehmensdaten, sondern heben generell ihren IT-Sicherheitsstandard an. Der Schritt zur Umsetzung der NIS2-Richtlinie ist dann wesentlich kleiner und daher auch leichter zu bewerkstelligen.

Und welches sind die ersten Schritte auf dem Weg zu einem verbesserten IT-Sicherheitsstandard?

Ich empfehle, ein Informationssicherheitsmanagementsystem zu implementieren. Mit einem ISMS, welches nach den Anforderungen der ISO 27001, dem BSI IT-Grundschutz oder der CISI12 umgesetzt wurde, können sich Unternehmen zielgerichtet gegen Angriffe oder Fehler schützen. Zudem sorgt ein ISMS dafür, die IT-Sicherheitsmaßnahmen im Unternehmen zu steuern und zu überwachen. Diese Systeme können in einem Audit zertifiziert werden und dienen dann als rechtsicherer Nachweis gegenüber Versicherern und Behörden. Das Unternehmen erhöht dadurch gleichzeitig seine Reputation, da es nachweisen kann, dass es Sicherheitsmaßnahmen implementiert hat.

Herr Iglauer, ich danke Ihnen für das Gespräch.