Gespräch mit Christian Volkmer, Inhaber P29 Group über die neue europäische Cybersicherheitsrichtlinie NIS2

Herr Volkmer, könnten Sie uns eine kurze Übersicht über die NIS2-Richtlinie geben und die Hauptziele erläutern?

Christian Volkmer: Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine überarbeitete Richtlinie der Europäischen Union, die darauf abzielt, die Cybersicherheit innerhalb der EU zu harmonisieren und zu stärken. Ihr Hauptziel ist es, die Widerstandsfähigkeit kritischer Infrastrukturen und wesentlicher Dienste gegen Cyberangriffe zu erhöhen. Dazu gehören Anforderungen an das Risikomanagement, die Sicherheitsmaßnahmen und die Meldung von Vorfällen. Angesichts der dramatisch veränderten Bedrohungslage im digitalen Raum ist das ein richtiger und wichtiger Schritt.

Wie unterscheidet sich die NIS2-Richtlinie von der vorhergehenden NIS-Richtlinie, und warum sind diese Änderungen besonders relevant für Unternehmen?

CV: Die NIS2-Richtlinie erweitert den Anwendungsbereich der Vorgängerrichtlinie und umfasst nun auch eine breitere Palette von Sektoren und Organisationen, einschließlich mehr mittelständischer Unternehmen. Sie führt strengere Sicherheitsanforderungen ein und legt einen stärkeren Fokus auf die Zusammenarbeit und Informationsaustausch zwischen Mitgliedstaaten. Diese Änderungen sind besonders relevant, weil sie Unternehmen dazu anregen, ihre Sicherheitsstrategien umfassender zu gestalten und auf aktuelle Bedrohungen besser vorbereitet zu sein.

„Die NIS2-Richtlinie erweitert den Anwendungsbereich der Vorgängerrichtlinie und umfasst nun auch eine breitere Palette von Sektoren und Organisationen, einschließlich mehr mittelständischer Unternehmen.“

Die NIS2-Richtlinie ist komplex, Unternehmen müssen einiges tun, um sie umsetzen. Können Sie nachvollziehen, dass sich Unternehmen angesichts der großen Zahl an Regeln und Vorgaben überfordert fühlen?

CV: Ja. Aber: Die Welt verändert sich schnell, speziell im digitalen Raum. Unternehmen trifft das besonders. Sie müssen im Grunde alle Geschäftsprozesse anpassen – und das ist kein Projekt, das irgendwann abgeschlossen ist. Es ist ein steter Prozess. Zeitgleich sind im Windschatten der Digitalisierung kriminelle Strukturen entstanden, für die diese neuen „Spielfelder“ nahezu ideal sind. Sie können anonym, ohne großen Aufwand und von jedem Ort der Welt attackieren, erpressen, stören und zerstören. Es ist Aufgabe von Regierungen, Bürger zu schützen und das Funktionieren von Wirtschaft und Gesellschaft zu sichern. Wenn Produkte im Supermarkt fehlen, kein Wasser mehr aus dem Hahn kommt, der Strom ausfällt oder Operationen in Krankenhäusern nicht durchgeführt werden können, weil die jeweiligen Dienstleister aufgrund einer Cyberattacke handlungsunfähig sind, dann hat die Regierung ihren Auftrag nicht erfüllt. Wir müssen hier möglichst proaktiv handeln. Mit NIS2 passiert das. Würde man diesen Schutz allein in die Hände der Unternehmen legen, würden einige sicherlich zu spät reagieren.

Zu spät heißt, nachdem sie Opfer einer Attacke wurden?

CV: Ja. So ticken wir leider. Wenn eine Gefahr zu abstrakt ist, reagieren wir häufig falsch. Es gibt Unternehmen, die kamen nach einer Attacke überhaupt nicht mehr auf die Füße. Wenn zwei Wochen Buchhaltung und Produktion stillstehen, kann es durchaus kritisch werden. Die NIS2-Richtlinie sollte nicht nur als regulatorische Pflicht betrachtet werden, sondern als Gelegenheit für Unternehmen, ihre Cybersicherheitspraktiken auf den neuesten Stand zu bringen. Die Anforderungen an Risikomanagement und Sicherheitsmaßnahmen tragen dazu bei, Schwachstellen zu identifizieren und zu beheben. Unternehmen, die diese Gelegenheit nutzen, erhöhen ihre Widerstandsfähigkeit gegenüber Cyberangriffen und verbessern die Gesamtbetriebssicherheit. Langfristig führt das außerdem zu einem besseren Vertrauen der Kunden und Partner.

Welche häufigen Missverständnisse oder Herausforderungen begegnen Unternehmen bei der Umsetzung der NIS2-Richtlinie, und wie können diese überwunden werden?

CV: Ein häufiges Missverständnis ist, dass die Richtlinie nur zusätzliche Bürokratie schafft. In Wirklichkeit soll sie jedoch Unternehmen helfen, ihre Sicherheitslage zu verbessern. Eine weitere Herausforderung ist die Ressourcen- und Zeitplanung für die Umsetzung. Unternehmen können diese Herausforderungen überwinden, indem sie frühzeitig externe Experten hinzuziehen und klare Prioritäten setzen. Eine schrittweise Umsetzung kann ebenfalls dazu beitragen, die Anforderungen effizient zu erfüllen.

Wie sehen Sie die Rolle von Beratungsunternehmen wie der Ratisbona Compliance GmbH in der Unterstützung von Unternehmen bei der Einhaltung der NIS2-Richtlinie?

CV: Beratungsunternehmen spielen eine wichtige Rolle, indem sie Unternehmen bei der Interpretation und Umsetzung der NIS2-Richtlinie unterstützen. Sie bieten Expertise in der Risikobewertung, Implementierung von Sicherheitsmaßnahmen und der Einhaltung gesetzlicher Anforderungen. Durch maßgeschneiderte Beratungsleistungen können sie Unternehmen helfen, effektive Sicherheitsstrategien zu entwickeln und die notwendigen Compliance-Maßnahmen zu integrieren, wodurch die Unternehmen ihre Ziele effizienter erreichen können. Wir haben hier in der Ratisbona Compliance beispielsweise eine speziell auf den Mittelstand zugeschnittene Lösung entwickelt, die Aufwand und Kosten der Umsetzung für die Unternehmen geringhält. (interdisziplinär: IT, Recht, Compliance können wir mit Experten abbilden)

Wie können Unternehmen sicherstellen, dass ihre Mitarbeiter auf die neuen Anforderungen der NIS2-Richtlinie vorbereitet und geschult sind?

CV: Unternehmen sollten regelmäßige Schulungen und Sensibilisierungsmaßnahmen für ihre Mitarbeiter anbieten, um sicherzustellen, dass alle über die neuen Anforderungen und die besten Sicherheitspraktiken informiert sind. Dies kann durch Workshops, Online-Kurse und regelmäßige Sicherheitsupdates erfolgen. Die Einbindung der Mitarbeiter in Sicherheitsstrategien und die Förderung einer Sicherheitskultur im Unternehmen sind ebenfalls entscheidend, um sicherzustellen, dass alle auf die neuen Anforderungen vorbereitet sind.

Was bei der Umsetzung zu tun ist, ist klar. Unklar dagegen ist, wann die Richtlinie kommt. Können Sie Licht ins Dunkel bringen?

CV: Leider nur bedingt. Ursprünglich sollte die europäische Richtlinie bis Oktober 2024 in nationales, deutsches Recht umgesetzt sein. Das scheint jedoch unrealistisch. Inzwischen gehen viele Experten davon aus, dass die Umsetzung im ersten Quartal 2025 stattfindet.

Das Interview führte: Thorsten Retta, punktX grafik.content.konzepte