Die Richtlinie soll Infrastruktur besser gegen Cyberangriffe schützen.
Interview mit Volker Fett, Transferstelle Cybersicherheit im Mittelstand | HANDWERK IN BERLIN 2025 - 4„Das geht alle Unternehmen etwas an“
Die EU hat die Cybersicherheits-Richtlinie NIS2 erlassen. Was das für Firmen bedeutet, erläutert Volker Fett von der Transferstelle Cybersicherheit im Mittelstand im Gespräch mit FORUM - Das Brandenburger Wirtschaftsmagazin.
Mit der NIS2 will die EU wichtige Infrastrukturen besser gegen IT-Störungen und Angriffe schützen. Die Vorgabe regelt die Informationssicherheit von Unternehmen und Institutionen – und muss noch in deutsches Recht umgesetzt werden. Für die Wirtschaft ergeben sich daraus neue Anforderungen – und Chancen.
FORUM: Herr Fett, Sie haben die NIS2-Richtlinie schon auf vielen Veranstaltungen vorgestellt. Welche Frage hören Sie dazu von den Unternehmern am häufigsten?
Oft werde ich gefragt, ob man sich damit überhaupt auseinandersetzen muss.
Was antworten Sie?
Ja, alle Unternehmen sollten sich mit IT-Sicherheit auseinandersetzen. Die Umsetzung der NIS2 in deutsches Recht wird nicht alle Unternehmen verpflichten, definierte Regelungen zu mehr IT-Sicherheit umzusetzen. Aber: Wenn durch einen Cyberangriff zum Beispiel vier Wochen lang die Buchhaltung ausfällt, kann das existenzbedrohend sein. Das Risiko muss somit auch kleinen Unternehmen bewusst sein.
Worum geht es im Kern bei NIS2?
Mit der NIS2 sollen kritische Infrastrukturen und letztlich das Funktionieren der Gesellschaft gesichert werden. Die Richtlinie legt für viele Unternehmen und Organisationen in kritischen Sektoren Sicherheitsmaßnahmen und Meldepflichten fest.
Die Richtlinie verpflichtet Unternehmen zu strengeren Sicherheitsmaßnahmen. Welche sind das, können Sie die wichtigsten nennen?
Unternehmen, für die NIS2 gilt, müssen ein Informationssicherheitsmanagement aufsetzen. Das heißt, Sie müssen die Vertraulichkeit, die Integrität und die Verfügbarkeit von Informationen gewährleisten. Erforderlich ist außerdem ein Notfallmanagement. Ein Unternehmen muss vorab regeln, was zu tun ist, wenn es angegriffen wird. Dabei sollte es auch seine Lieferketten im Blick haben und bedenken, welche Auswirkungen ein Notfall bei seinen Lieferanten oder Dienstleistern hat. Firmen sind außerdem verpflichtet, ihre Mitarbeiter zu schulen.
Nach der neuen Regelung aus Brüssel müssen sich auch Geschäftsführer weiterbilden. Können Sie dazu etwas sagen?
Auch die Geschäftsführer sind verpflichtet sich weiterzubilden. Das ist ein Unterschied zur Datenschutzgrundverordnung (DSGVO), wo das nicht so explizit verlangt wird. Geschäftsführer müssen nach der NIS2 zum Beispiel grundlegend verstehen, welche Auswirkungen IT- Sicherheitsvorfälle auf Ihr Unternehmen haben können und wie man sich schützen kann. Sie können das Thema Cybersicherheit nicht allein an Mitarbeiter delegieren.
Sie deuteten es bereits an, nicht alle Unternehmen sind von der NIS2 erfasst. Für wen trifft das künftige Gesetz zu?
In Deutschland werden das circa 35.000 Unternehmen sein. Es gibt dafür verschiedene Kriterien. Vor allem handelt es sich mit wenigen Ausnahmen um Unternehmen, die mindestens 50 Mitarbeiter beschäftigen oder deren Umsatz beziehungsweise die Bilanzsumme mehr als zehn Millionen Euro beträgt. Betreiber bestimmter kritischer Anlagen gehören gleichfalls dazu.
Wie findet ein Unternehmen heraus, ob es von NIS2 betroffen ist?
Es wird eine Betroffenheitsprüfung im Internet geben. Aber man kann sich auch bereits jetzt informieren. Die Website des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bietet zum Beispiel einen solchen Check an.
Wenn das erwartete NIS2-Umsetzungsgesetz vornehmlich größere Firmen erfasst, dann heißt das aber doch, dass sich kleinere Unternehmen mit wenigen Mitarbeitern zurücklehnen können…
Wir sprechen hier von IT- und Netzwerksicherheit. Das geht alle Unternehmen etwas an, egal, ob sie 500 oder fünf Mitarbeiter haben. Auch Unternehmen, die dem Gesetz nicht unterliegen, sollten sich mit diesen Themen auseinandersetzen. Gerade für kleine Unternehmen kann zum Beispiel ein Ransomware-Angriff, also eine Verschlüsselung von Daten und der Abgriff selbiger durch eine Software, existenzgefährdend sein.
NIS2 fordert auch eine höhere Sicherheit innerhalb der Lieferketten. Was bedeutet das für kleine Betriebe, die nicht der Richtlinie unterliegen, aber Zulieferer oder Dienstleister für ein großes Unternehmen sind?
Es ist davon auszugehen, dass große Unternehmen ihre Verträge mit Zulieferern und Dienstleistern anpassen. Das heißt, sie werden zumindest sicherstellen wollen, dass sie rechtzeitig über einen IT-Vorfall bei einem Zulieferer informiert werden. Kleine Betriebe können NIS2 auch als Chance sehen: Wenn sie ein eigenes Notfallmanagement vorweisen, könnte das ein Vorteil bei einer Auftragsvergabe sein. Umgekehrt müssen aber auch größere Unternehmen beachten, welche Auswirkungen ein Angriff gegen sie selbst auf ihre Zulieferer und Dienstleister haben kann. Letztlich geht es darum abzusichern, dass Lieferketten weiter funktionieren.
Was bietet die Transferstelle Cybersicherheit im Mittelstand für Unternehmen an, die sich über NIS2 beziehungsweise das noch ausstehende Gesetz informieren wollen?
Wir haben im vergangenen Jahr mehr als 200 Veranstaltungen zum Thema IT und Cybersicherheit angeboten und werden dies weiter tun. Außerdem können Firmen auf unserer Website einen „Cybersicher-Check“ absolvieren. Wir helfen ihnen, im Notfall schnell Kontakt zu IT-Experten aus der Wirtschaft zu bekommen und bieten viel Wissen rund um das Thema Cybersicherheit auf unserer Website. Diese Angebote sind sämtlich kostenfrei.
Volker Fett ist Projektleiter in der Transferstelle Cybersicherheit im Mittelstand
Auch die Geschäftsführer sind verpflichtet sich weiterzubilden.
