Wirtschaft im Südwesten - Ausgabe Oktober'24 - Hochrhein-Bodensee

28 IHK-Zeitschrift Wirtschaft im Südwesten 10 | 2024 REGIO REPORT  IHK Hochrhein-Bodensee Höhere Anforderungen an die IT-Sicherheit, Bußgelder und Haftung Was bedeutet NIS-2 in der Praxis? S chätzungen zufolge werden über 30.000 deutsche Organisationen aus 18 Bran- chen direkt von den neuen Anforderungen betroffen sein. Besonders brisant: Ge- schäftsführende Personen werden künftig stärker in die Verantwortung genommen und haften bei Verstößen. Doch welche Maßnah- men müssen jetzt ergriffen werden? Verantwortung und Haftung der Ge- schäftsleitung: Welche Pflichten entste- hen und wie können sie erfüllt werden? Risikomanagement und Sicherheitsüber- prüfungen: Wie lassen sich Risiken erfas- sen und minimieren? Sicherheitsvorfall- und Datenmanage- ment: Wie können Vorfälle gemanagt und Daten geschützt werden? MitarbeiterschulungundSensibilisierung: Wie wird das Sicherheitsbewusstsein gestärkt? Netzwerksicherheit und Zugangskontrol- len: Welche Maßnahmen sind notwendig? Meldepflichten und Lieferkettensicher- heit: Welche Vorgaben sind einzuhalten? Antworten auf diese Fragen sowie eine Darstellung der Haftungsrisiken und notwendigen Handlungsschritte bietet die kostenfreie Online-Informationsveranstal- tung am Montag, 1 4. Oktober, von 17 bis 18.30 Uhr mit Rechtsanwalt und Fachanwalt für IT-Recht Jan Morgenstern von „MORGEN- STERN“. Wir haben vorab mit Jan Morgenstern von der Morgenstern Rechtsanwaltsgesellschaft mbH gesprochen, die sich auf die Bereiche IT-Recht, Datenschutz und IT-Sicherheit spezialisiert hat. Er geht unter anderem dar- auf ein, welche Themen in der Informations- veranstaltung angesprochen werden. Herr Morgenstern, welche Organisationen und Branchen werden von NIS-2 betroffen sein? Jan Morgenstern: Betroffen sind wesentliche und wichtige Einrichtungen der Privatwirt- schaft und öffentlichen Bereichen aus diver- sen Sektoren, die bislang nicht im Gesetz zum Schutz kritischer Infrastrukturen (KRI- TIS) enthalten waren, zum Beispiel Transport, Post- und Kurierdienste, Bankwesen, Abfall- wirtschaft, IKT-Dienste, digitale Dienste und digitale Infrastrukturen. In der Regel sollten Unternehmen in die vertiefte Betroffenheitsprüfung einsteigen, wenn Sie mehr als 50 Beschäftigte haben und bei mehr als zehn Millionen Euro Umsatz liegen. Welches werden die wichtigsten Maßnahmen sein? Das NIS-2-UmsuCG setzt mit der NIS- 2-Richtlinie die Mindestanforderungen für die IT-Sicherheit fest. Ausgehend davon müssen Unternehmen eigenständig und anhand der individuellen Risikofeststellung angemessene Maßnahmen festlegen. Das Gesetz ist hier abstrakt und definiert die Maßnahmen eher generisch: Im Rahmen der Risikoprävention geht es um Identifikation bestehender Risiken, Frühwarnsysteme, An- griffsfeststellungsmechanismen. Im Rahmen des Krisenmanagements haben Einrichtun- gen Maßnahmen zu definieren, über die Wie- deranlaufpläne wirksam umgesetzt werden können, sowohl was die IT-Systeme, aber auch die sonstigen „physischen“ Kompo- nenten im Betrieb angeht. Erwähnenswert finde ich auch, dass Ein- richtungen die Ergreifung der Maßnahmen und deren Wirksamkeit nachzuweisen und Schulungen in diesem Bereich umsetzen müssen. Außerdem nehmen die Test- und Dokumen- tationsaufwände zu. Das wiederum stellt für viele Unternehmen, die IT-Sicherheit eher technikgetrieben gegenüberstehen, vor die Herausforderung, externe Expertise für Tests, Dokumentation und Audits zu beschaffen und zu finanzieren. Auf welche Themenbereiche werden Sie in der Informationsveranstaltung darüber hinaus eingehen? Neben den klassischen Themen werden wir uns überblickshaft mit dem Recht der Infor- mationssicherheit generell befassen. Es wäre aus meiner Sicht viel zu kurz gegrif- fen, wenn wir uns alle auf das NIS-2-Thema stürzen und dabei außenvorlassen, dass Unternehmen bereits jetzt als Teile der Lieferkette zum Beispiel in erheblichem Maß an Cybersicherheitsanforderungen gebun- den sind – in der Regel über Verträge. Umgekehrt haben Unternehmen schon auf- grund der verschärften Bedrohungslage Vor- sorgemaßnahmen zu ergreifen, die über die Definition von Cybersicherheitsanforderun- gen am Markt erfolgen müssen. Damit setzen sich gerade mittelständische Betriebe meiner Einschätzung nach zu wenig auseinander und unterschätzen die vorhandenen Verhandlungs- potenziale, die über den Einkauf von IT-Leis- tungen am Markt verwirklicht werden. Außerdem beschäftigen wir uns mit den operativen Grundlagen des Informations- sicherheitsmanagements, also der Einbin- dung von Maßnahmen in einen übergeord- neten organisatorischen Rahmen. Damit haben wir einen umfassenden Einstieg in die Materie, der die Einbindung des NIS- 2-Themas in die betriebliche Sicherheitsor- ganisation gewährleisten kann. Interview: Janne Bock In den vergangenen Jahren wurde das Thema Informationssicherheit in vielen Unternehmen noch weitgehend ohne konkrete gesetzliche Vorgaben behandelt. Doch mit der bevorstehenden Umsetzung der europäischen NIS-2-Richtlinie in deutsches Recht wird sich dies grundlegend ändern. Jan Morgenstern Gut zu wissen: Im Zeitraum vom 18. bis 22. November ist der IHK Online-Zertifikatslehrgang zum Informa- tionssicherheitsbeauftragten geplant. Dieser Lehrgang vermittelt das notwendige Fach- wissen zur Umsetzung der entscheidenden Schutzmaßnahmen. Informationen und Anmeldung zur Ver- anstaltung unter: www.ihk.de/ konstanz Dok. Nr. 15374