News & Blog

Lüneburg, 04. März 2024. Mit der seit Anfang 2023 geltenden NIS2-Richtlinie wurden Mindestanforderungen an die Cybersicherheit für Einrichtungen festgelegt und vereinheitlicht. Damit soll europaweit die Widerstands- und Reaktionsfähigkeit gegen Cyberangriffe verbessert werden. Die Frist zur nationalen Umsetzung läuft am 17. Oktober 2024 ab. In den letzten Tagen gab es erste Hinweise darauf, dass sich das deutsche Gesetzgebungsverfahren verzögern könnte. Welche Folgen daraus für die IT-Sicherheit resultieren, erläutert René Hofmann, IT-Sicherheitsexperte und Geschäftsführer vom Hersteller Securepoint.

Für die Umsetzung der NIS2-Richtinie hat Deutschland das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) im April 2023 im ersten Anlauf auf den Weg gebracht. Wie es aus Berliner Kreisen heißt, wird die EU-Richtlinie voraussichtlich nicht rechtzeitig in nationales Recht umgesetzt. Grund ist eine Blockade durch das Bundesministerium der Justiz. Diskutiert wird die Frage zur künftigen Verfasstheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie die Ausgestaltung des in dem NIS2-Umsetzungsgesetz skizzierten Schwachstellenmanagements.

Es gilt nicht die Frage, wer angegriffen wird, sondern wann

Der Zeitpunkt der Streitigkeiten in der Bundesregierung über die NIS2-Umsetzung ist denkbar ungünstig. Sehen sich doch Wirtschaft und Verwaltung mit einer Bedrohungslage im Cyberraum konfrontiert, die es bisher nicht gab. So meldete der Branchenverband Bitkom kürzlich einen Schaden von rund 206 Milliarden Euro durch Cyberangriffe für deutsche Unternehmen. Dass diesem großen Risiko Einhalt geboten werden muss, haben die höchsten politischen Ebenen in Europa erkannt. Die NIS2-Richtline ist die logische Konsequenz aus intensiven Verhandlungen mit den europäischen Staaten.

Seit Einführung der Richtlinie sind 14 Monate vergangen. Für René Hofmann ist das in der schnelllebigen IKT-Branche eine Ewigkeit. Zu der Verzögerung sowie den Auswirkungen auf die IT-Sicherheit erklärt er: „Der deutsche Gesetzgeber muss endlich für Klarheit sorgen. Es steht außer Zweifel, dass wir handeln müssen, um unsere Wirtschaft, den Staat und unsere Gesellschaft vor Cyberbedrohungen zu schützen. Die NIS2-Richtlinie gibt Mindestanforderungen vor. Für alle, die unter den Anwendungsbereich von NIS2 fallen und fallen könnten, ist es höchste Zeit, sich damit konkret und auf verlässlicher gesetzlicher Basis auseinandersetzen zu können. Diese Verlässlichkeit ist umso wichtiger, da im Zuge der NIS2-Umsetzung auf viele Unternehmen zusätzliche Kosten zukommen werden.“

Einrichtungen, die nun erstmalig von der Richtlinie erfasst sind, werden mit einer Erhöhung ihres Cybersicherheitsbudgets von ca. 22 Prozent rechnen müssen. Das geht aus dem Impact-Assessment der Europäischen Kommission zur NIS2-Richtlinie hervor. Unternehmen, die hingegen bereits im Rahmen der Vorgängerregelung entsprechende Maßnahmen ergriffen haben, erwarten zusätzliche Kosten von rund 12 Prozent. Die gesamten Kosten für die NIS2-Umsetzung in Deutschland werden auf mindestens 1,4 Milliarden Euro geschätzt. Werden die jährlichen Aufwendungen zusätzlich addiert, ergeben sich zusammen mindestens 1,65 Milliarden Euro.
 

Cyberresilienz ist das Gebot der Stunde

„Natürlich hätten diese Investitionen in die IT-Sicherheit schon längst und aufgrund vernunftmäßiger Überlegungen erfolgen sollen. Viele Einrichtungen sind auch schon gut unterwegs“, fährt René Hofmann fort: „Das sehen wir selbst jeden Tag und arbeiten kontinuierlich daran. Aber leider eben nicht alle und nicht in der nötigen Konsequenz. Mit der NIS2-Richtlinie erfolgt richtigerweise eine Stärkung der risikobasierten Prävention: Einrichtungen werden nun gezwungen, sich aktiv mit ihrer digitalen Sicherheit zu beschäftigen. Sie werden zu einem Vorbild für andere. Die Umsetzung der NIS2-Richtlinie ist ein Prozess, der für die Einrichtungen eine intensive Planung bedeutet. Dazu gehört es, sich mit den Vorgaben zu beschäftigen und sich vorzubereiten.“

Was laut Hofmann benötigt werde, sei eine Kultur der Sicherheit: „Die IT-Sicherheit ist eine Chance für uns alle – Staat, Wirtschaft und Gesellschaft. Sie muss gestaltet, statt verwaltet werden. Um dieses Ziel zu erreichen, müssen alle Beteiligten an einem Strang ziehen und Verantwortung für die Leistungsfähigkeit des Wirtschaftsstandortes Europa übernehmen. Die Verzögerung innerhalb des Gesetzgebungsverfahrens lassen da leider Zweifel aufkommen. Resilienz ist das Gebot der Stunde für alle. IT-Sicherheit muss endlich als das verstanden werden, was es ist: Eine nachhaltige Investition in die Zukunft. Daraus entsteht Schutz für unsere Wirtschaft und Gesellschaft. Nur mit Investitionen in die Informationssicherheit werden erheblich höhere Schäden durch Cyberangriffe verhindert. Was für Unternehmen gilt, gilt genauso für Politik und Verwaltung.“
 

Weitere Informationen: Alles zu NIS2