• NIS-2-Richtlinie: Wo stehen die Unternehmen beim Risikomanagement?

02.07.2024

Bis Mitte Oktober soll die NIS2 EU-Richtlinie in nationales Recht übersetzt werden. Über den aktuellen Stand der Umsetzung und den Stellenwert des Risikomanagements für Unternehmen sprachen wir mit Friederike Dahns, Leiterin der Abteilung Cyber- und Informationssicherheit im Bundesministerium des Innern und für Heimat.

Im Gespräch mit unseren Mitgliedern skizzierte die neue Abteilungsleiterin, dass nach einem Kabinettsbeschluss in diesem Monat das parlamentarische Verfahren im September folgen soll. Aufbauend auf das bereits existierende BSI-Gesetz, das im Zuge der NIS-2-Richtlinie novelliert werden soll, würden bisherige Strukturen noch effizienter gemacht. Der Hauptauftrag liege darin, noch schneller bei meldepflichtigen Sicherheitsvorfällen zu werden und in Verwaltung und Wirtschaft gleichermaßen ein entsprechendes Informationssicherheitsmanagement aufzubauen. Orientierung zu dem, was politisch in einem Landesgesetz akzeptabel ist, gebe die bereits erfolgte NIS-2 Umsetzung in Sachsen, so Dahns.

Dabei wird vielfach nachgefragt, so auch in dieser Diskussion, wird, wer von der Richtlinie betroffen ist. Um insbesondere grenzüberschreitend agierenden Unternehmen Hilfestellung zu geben, plane die EU-Agentur für Cybersicherheit European Union Agency for Cybersecurity (ENISA) einen europaweiten Atlas für die korrespondierenden Regelwerke in den Mitgliedstaaten, erklärte Friederike Dahns. Um neu betroffenen Unternehmen zusätzliche Unterstützung zu geben, sei außerdem die Einrichtung einer Arbeitsgruppe zum Austausch von Best Practice Methoden geplant. Fest eingeplant ist außerdem eine Evaluierung, etwa drei Jahre nach Inkrafttreten der Novelle.

Insgesamt müsse sichergestellt werden, dass das Cybersicherheitsniveau der Länder/Kommunen auf ein adäquates Niveau gebracht werde, unterstrich Friederike Dahns. Entscheidend sei deshalb auch, das Bewusstsein für konsequentes Risikomanagement bei den Unternehmen zu schärfen. Denn den zu erwartenden bürokratischen Mehrkosten – rund 1,6 Milliarden Euro – stehe eine jährliche Schadenssumme für deutsche Unternehmen von rund 200 Milliarden Euro gegenüber.

Wir danken Friederike Dahns für die Gelegenheit zum Austausch mit unseren Mitgliedern und werden zur Umsetzung weiter im Gespräch mit den Unternehmen bleiben.