Die EU-Richtlinie NIS2 sorgt weiter für Unruhe bei Unternehmern – denn auch wenn die nationale Umsetzung noch aussteht, sollen künftig Unternehmer schuld sein und haften, wenn ihre Betriebe von Cyberkriminellen attackiert werden.
Die Bedrohungslage ist ernst: Tag für Tag werden Unternehmen und Institutionen mit mehreren tausend Cyberangriffen attackiert. Acht von zehn Firmen waren laut Digitalverband Bitkom 2024 Opfer von Datendiebstahl, Spionage oder Sabotage. Geschätzter Schaden: 267 Milliarden Euro. Inwieweit das stimmt, lässt sich nicht überprüfen. Aber die Summe steigt zuverlässig Jahr für Jahr.
Von Datenkidnappern und Lösegeld
„Fast jeder kennt mittlerweile jemanden, der in den vergangenen Monaten gehackt wurde“, sagt der Balgheimer IT-Berater Klaus Schmid, Vorsitzender des Arbeitskreises IT-Wirtschaft der IHK Schwarzwald-Baar-Heuberg. Allein 15 Unternehmen der Region
seien erst kürzlich Angreifern zum Opfer gefallen. Üblich sind so genannte Supply-Chain-Angriffe, die nicht direkt auf ein Unternehmen, sondern deren Dienstleister und Drittanbieter zielen. „Das ist für die Angreifer effizienter“, sagt Schmid. Das typische Szenario sind Ransomware-Angriffe mit Datendiebstahl und lahmgelegten Systemen gegen Lösegeldforderung, gefolgt von Phishing und DDoS-Attacken.
EU und Bundesregierung reagieren darauf mit Gesetzen. Etwa dem IT-Sicherheitsgesetz für kritische Infrastrukturen oder dem Digital Operations Resilience Act (DORA), der vom 17. Januar an für rund 22.000 Banken, Versicherer oder Vermittler in der EU gilt.
Zwei weitere Gesetze stehen vor der Tür: das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), mit dem Deutschland die NIS2-Richtlinie der EU umsetzt, sowie das Kritis-Dachgesetz, die nationale Umsetzung der EU-CER-Richtlinie.
Vor allem die Umsetzung von NIS2 wird etliche Unternehmen beschäftigen. Zusätzlich zu rund 4.000 durch NIS1 betroffene Unternehmen der kritischen Infrastruktur werden nun 30.000 weitere zu mehr Cybersicherheit verpflichtet, sofern sie zu 18 definierten Sektoren gehören und eine bestimmte Größe überschreiten.
Sicher im Netz
Mit Deutschland sicher im Netz (DSIN) startet ein gemeinnütziger Verein unter Schirmherrschaft des Bundesinnenministeriums mit der DIHK und regionalen IHKs eine Workshopreihe zu NIS2. Im Februar 2025 plant die IHK Südlicher Oberrhein einen Workshop, im zweiten Quartal 2025 die IHK Hochrhein-Bodensee.
Ab Mitte 2025 wird DSIN den Fit-NIS2-Navigator starten, ein kostenloses Online-Angebot, mit dessen Hilfe Unternehmen ihre Betroffenheit prüfen können und Umsetzunghilfen erhalten. Die Registrierung für den begleitenden Newsletter ist schon möglich unter www.fitnis2.de. Die bereits verfügbare Betroffenheitsprüfung des BSI findet sich unter betroffenheitspruefung-nis-2.bsi.de.
Betroffen – oder doch nicht?
Es gebe derzeit „eine gewisse Unruhe unter den Unternehmen“, weiß IT-Berater Schmid. „Manche wissen nicht, ob sie betroffen sind, andere wissen nicht, was sie dann tun sollen.“ Erste Hürde ist bereits die Betroffenheitsprüfung. Mit dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) angebotenen Online-Check „kommen Unternehmen nicht immer klar“, weiß Dirk Binding, Bereichsleiter Digitale Wirtschaft, Infrastruktur und Regionalpolitik der IHK in Berlin, die als Schnittstelle zwischen Unternehmen und Politik fungiert.
Zudem sei der Selbstcheck nicht rechtsverbindlich. „Doch Unternehmen brauchen Rechtssicherheit“ – und müssten im Zweifel daher doch einen Juristen einschalten. Binding geht davon aus, dass statt der 30.000 Unternehmen, die am Ende unter NIS2 fallen werden, „vielleicht 100.000 die Betroffenheitsprüfung durchführen müssen, um sicherzugehen“.
„Andere Länder haben das besser geregelt“, findet Experte Schmid. Teilweise würden die Unternehmen von Behörden aktiv über ihre Betroffenheit informiert. In Italien werden Unternehmen gar von Amts wegen auf Betroffenheit geprüft.
In Deutschland dagegen gibt es viele weitere Unsicherheiten: „Meine Firma ist bereits nach ISO 27001 zertifiziert”, sagt ein Unternehmer. „Bin ich damit auf der sicheren Seite?” Das müsse geprüft werden, sagt DIHK-Bereichsleiter Binding. „Der Ansatz von NIS2 zielt auf gesamtgesellschaftliche Resilienz ab und ist umfassender.” Berater Schmid empfiehlt indes, die ISO 27001 anzustreben. „Dadurch kann ich umfangreiche Maßnahmen nachweisen und dürfte nicht so leicht haftbar gemacht werden.”
Denn hier liegt eine wesentliche Neuerung von NIS2: die Haftung. Erstmals können Führungskräfte für Schäden, die auf Nichteinhaltung der Sicherheitsanforderungen zurückzuführen sind, persönlich haftbar gemacht werden (Artikel 20 NIS-2-Richtlinie). Damit soll der Druck erhöht werden, Cybersicherheit zur Chefsache zu machen. Die Folge: Wer fahrlässig handelt, kann den Schutz seiner Versicherung verlieren.
Für Unverständnis unter den Unternehmen sorgen indes die Ausnahmen für Behörden. Viele öffentliche Verwaltungen, etwa Landkreise und Kommunen, sind vom Gesetz ausgenommen, ebenso das Auswärtige Amt und die Strafverfolgungsbehörden. Für Sicherheitsexperte Manuel Atug von der Arbeitsgemeinschaft Kritische Infrastruktur eine Katastrophe: „Als ob die Datenpakete von Angreifern an den Schnittstellen zwischen Unternehmen und Behörden Halt machten.” Atug hat jede Menge weitere Kritik. Dass entdeckte Schwachstellen in Systemen nicht gleich behoben, sondern zunächst „gemanagt” werden sollen, um sie möglicherweise selbst zu nutzen, etwa für Geheimdienstaktivitäten, hält er für unverantwortlich: „So funktioniert Cybersicherheit nicht.”
Doch wann wird das Gesetz – das ohne Übergangsfrist gelten wird – nun eigentlich kommen? Nach dem Ampel-Aus ist das nicht mehr absehbar, ursprünglich erschien März 2025 realistisch. Atug: „Müsste ich eine Wette abschließen, würde ich auf November tippen.“ Parallel steigt der Zeitdruck. Die EU hat gerade ein Vertragsverletzungsverfahren gegen Deutschland – und 23 weitere Staaten – wegen Nichtumsetzung eröffnet.
Für Berater Schmid ist klar: „Dieses Gesetz ist sinnvoller als manches andere, das in jüngster Zeit verabschiedet wurde.“ Gleichzeitig versteht er die Zögerlichkeit der Unternehmen. Die Kosten für IT-Sicherheit seien explodiert und führen zu keiner höheren Produktivität. „Am Ende ist es eine Wette: Werde ich betroffen sein – oder nicht?“ Jürgen Baltes
Kontakt
Bei den Kammern der Region gibt es
kompetente Ansprechpartner zu NIS2:
Hülya Sevgin 0761 3858-267
huelya.sevgin@freiburg.ihk.de
Alexander Rösgen 07721 922-156
roesgen@vs.ihk.de
Sunita Patel, 07531 2860-163
sunita.patel@konstanz.ihk.de