Wirtschaft im Südwesten - Ausgabe Januar'25 -Schwarzwald-Baar-Heuberg

58 IHK-Zeitschrift Wirtschaft im Südwesten 1 | 2025 ANZEIGE „Andere Länder haben das besser geregelt“, findet Experte Schmid. Teilweise würden die Unternehmen von Behörden aktiv über ihre Betroffenheit informiert. In Italien werden Unternehmen gar von Amts wegen auf Be- troffenheit geprüft. In Deutschland dagegen gibt es viele weite- re Unsicherheiten: „Meine Firma ist bereits nach ISO 27001 zertifiziert”, sagt ein Un- ternehmer. „Bin ich damit auf der sicheren Seite?” Das müsse geprüft werden, sagt DIHK-Bereichsleiter Binding. „Der Ansatz von NIS2 zielt auf gesamtgesellschaftliche Resilienz ab und ist umfassender.” Berater Schmid empfiehlt indes, die ISO 27001 an- zustreben. „Dadurch kann ich umfangreiche Maßnahmen nachweisen und dürfte nicht so leicht haftbar gemacht werden.” Denn hier liegt eine wesentliche Neuerung von NIS2: die Haftung. Erstmals können Füh- rungskräfte für Schäden, die auf Nichteinhal- tung der Sicherheitsanforderungen zurück- zuführen sind, persönlich haftbar gemacht werden (Artikel 20 NIS-2-Richtlinie). Damit soll der Druck erhöht werden, Cybersicher- heit zur Chefsache zu machen. Die Folge: Wer fahrlässig handelt, kann den Schutz seiner Versicherung verlieren. Für Unverständnis unter den Unternehmen sorgen indes die Ausnahmen für Behörden. Viele öffentliche Verwaltungen, etwa Land- kreise und Kommunen, sind vom Gesetz aus- genommen, ebenso das Auswärtige Amt und die Strafverfolgungsbehörden. Für Sicher- heitsexperte Manuel Atug von der Arbeits- gemeinschaft Kritische Infrastruktur eine Katastrophe: „Als ob die Datenpakete von Angreifern an den Schnittstellen zwischen Unternehmen und Behörden Halt machten.” Atug hat jede Menge weitere Kritik. Dass ent- deckte Schwachstellen in Systemen nicht gleich behoben, sondern zunächst „gema- nagt” werden sollen, um sie möglicherweise selbst zu nutzen, etwa für Geheimdienstak- tivitäten, hält er für unverantwortlich: „So funktioniert Cybersicherheit nicht.” Doch wann wird das Gesetz – das ohne Übergangsfrist gelten wird – nun eigentlich kommen? Nach dem Ampel-Aus ist das nicht mehr absehbar, ursprünglich erschien März 2025 realistisch. Atug: „Müsste ich eine Wette abschließen, würde ich auf November tippen.“ Parallel steigt der Zeitdruck. Die EU hat gerade ein Vertragsverletzungsverfahren gegen Deutschland – und 23 weitere Staaten – wegen Nichtumsetzung eröffnet. Für Berater Schmid ist klar: „Dieses Gesetz ist sinnvoller als manches andere, das in jüngster Zeit verabschiedet wurde.“ Gleich- zeitig versteht er die Zögerlichkeit der Unter- nehmen. Die Kosten für IT-Sicherheit seien explodiert und führen zu keiner höheren Pro- duktivität. „Am Ende ist es eine Wette: Werde ich betroffen sein – oder nicht?“ Jürgen Baltes Erwartet, dass rund 30.000 Unternehmen von der deutschen Auslegung von NIS2 betroffen sein werden: DIHK-Experte Dirk Binding. Bei den Kammern der Region gibt es kompetente Ansprechpartner zu NIS2: Hülya Sevgin 0761 3858-267 huelya.sevgin@freiburg.ihk.de Alexander Rösgen 07721 922-156 roesgen@vs.ihk.de Sunita Patel, 07531 2860-163 sunita.patel@konstanz.ihk.de