NIS-2-Richtlinie : KMU sollten bei NIS-2 mitreden

Künftig müssen knapp 30.000 Unternehmen in Deutschland strenge Cybersecurity-Regelungen erfüllen. Das trifft bereits Unternehmen, die als „wichtige Einrichtung“ gelten und mindestens 50 Mitarbeiter:innen und 10 Millionen Euro Umsatz im Jahr haben – von Post- und Kurierdiensten bis hin zu Produzenten chemischer Stoffe sind alle Branchen dabei. Vor allem kleine und mittelständische Firmen werden sich nun noch intensiver mit dem Thema Cybersecurity befassen müssen – sie sollten sich nun in die Diskussion einschalten, damit ihre Bedürfnisse berücksichtigt werden. Das sind aufwandsarme Registrierungs- und Meldepflichten sowie pragmatische Lösungen für mehr IT-Sicherheit in der Praxis.

Das Gros der deutschen Unternehmen hat bereits schmerzliche Erfahrungen mit Cyberkriminalität gesammelt. In einer Cisco-Studie aus dem Frühjahr berichtet jeder zweite Security-Verantwortliche von einem Vorfall in den letzten 12 Monaten. Betroffen sind Unternehmen jeder Größe – der klassische Mittelstand eingeschlossen: Drei von zehn KMUs wurden in den Jahren 2018 bis 2020 Opfer von Cyberangreifern, so eine Analyse der Kreditanstalt für Wiederaufbau (KfW). Entsprechend begrüßenswert ist die von der Europäischen Union beschlossene NIS-2-Richtlinie zur Stärkung der Netzwerk- und Informationssicherheit. Sie soll die derzeit in den Mitgliedstaaten geltenden Regelungen nicht nur aktualisieren und erweitern, sondern auch vereinheitlichen.

Doch der Teufel liegt wie so häufig in der Umsetzung der EU-Vorgaben auf nationaler Ebene. In Deutschland dient dazu das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das spätestens am 17. Oktober 2024 in Kraft treten muss. Derzeit existiert ein vorläufiger Referentenentwurf, von dem Auszüge jetzt Verbänden als Diskussionspapier zugänglich gemacht wurden. Bis sich die Bundesregierung geeinigt hat, kann sich die Wirtschaft nun schon damit auseinandersetzen – und sollte das auch tun. Denn eine finale Beteiligungsrunde vor dem Beschluss könnte mit verkürzter Frist erfolgen.

Diskussion schon jetzt nötig

Genau jetzt sollten sich also Unternehmen mit dem Gesetzentwurf und seinen Implikationen beschäftigen, damit ein solider Referentenentwurf entsteht. Einwände tragen durchaus schon Früchte. Zum Beispiel soll das BSI nun die von Unternehmen gemeldeten Informationen an die Enisa weiterleiten. So müssen europaweit tätige Unternehmen diese nicht mehr einzeln an alle EU-Staaten, sondern nur noch einmal zentral melden. Zudem müssen Betreiber kritischer Anlagen nun frühestens drei Jahre nach Inkrafttreten des Gesetzes die Erfüllung ihrer Pflichten nachweisen und dies nur noch alle drei statt zwei Jahre erneuern.

Solche praktikablen Lösungen sollten auch in anderen Bereichen eingeführt werden, um den bürokratischen Aufwand gering zu halten und Parallelstrukturen zu vermeiden. So könnten Meldungen zu Cyberbedrohungen und IT-Sicherheitsvorfällen über das Unternehmenskonto erfolgen, das im Rahmen des OZG diskutiert wird. Denn kleine und mittelständische Unternehmen stehen schon heute vor großen Herausforderungen bei der Cybersicherheit. Aufgrund geringer Budgets und des Fachkräftemangels kommen sie kaum mit der Einführung und dem Management aktueller Sicherheitslösungen hinterher. Daher sollte das NIS2UmsuCG ihnen keine unnötigen Knüppel zwischen die Beine werfen, sondern ihnen konkrete Hilfestellungen und Unterstützung bieten.

Vier wichtige Punkte

Dabei sind vier Punkte besonders wichtig: bürokratiearme Prozesse, ein klarer Orientierungsrahmen, pragmatisches Vorgehen und der Einsatz moderner Sicherheitslösungen. Schlanke, effiziente Abläufe für die Registrierung sowie das Melden von Vorfällen kämen dabei nicht nur Unternehmen, sondern auch dem BSI zugute. Schließlich muss es sich um die Angaben von rund 29.000 Organisationen kümmern – und erwartungsgemäß immer mehr Cybersecurity-Verstöße. So sollten in Deutschland die ohnehin knappen Ressourcen für mehr Sicherheit genutzt werden statt für Bürokratie.

Ein klarer Orientierungsrahmen ist bei kleinen und mittelständischen Unternehmen vor allem für die Einschätzung nötig, welche Maßnahmen verhältnismäßig sind. Dies gilt sowohl in Sachen technischer und organisatorischer Aufwand als auch Implementierungskosten im Vergleich zum konkreten Nutzen. Gerade hier gibt es viel Unsicherheit und wenig Erfahrung im Mittelstand.

Unternehmen profitieren auch von einem pragmatischen Vorgehen. Aus Erfahrung von Cisco und hunderten Kundengesprächen in Deutschland hat sich ein schrittweiser Ansatz bewährt. So können recht einfache Lösungen für Backup, E-Mail- und Internetsicherheit (WWW, DNS und Zugang) sowie 2-Faktor-Authentifizierung einen Großteil der Angriffe abwehren. In aller Regel sind solche Maßnahmen bereits implementiert, bei Bedarf müssen sie nun mit einer umfassenden Sicherheitsstrategie und einem Notfallplan ergänzt werden. Ein vollständiges Zero-Trust-Konzept verbunden mit einer intelligenten Anomalie- und Angriffserkennung kann im nächsten Schritt folgen.

Solche modernen Sicherheitskonzepte sind heute meist cloud-basiert. Dies liegt einerseits daran, dass sie technisch immer auf dem neuesten Stand sind und von externen Spezial-Dienstleistern unterstützt werden. Andererseits erfordern sie nur wenig Know-how beim Kunden. Dies ist gerade für kleinere Unternehmen ein enormer Vorteil, die über keine eigenen Security-ExpertInnen verfügen. Daher sollte der Gesetzgeber cloud-basierte Managed Services eindeutig als geeignete Sicherheitslösung anerkennen.

Unsicherheiten abbauen

Klare, eindeutige Vorgaben sind die beste Maßnahme, um Unsicherheiten und Ängste zu vermeiden. Daher sollten Unternehmen gemeinsam mit Verbänden und Gesetzgeber möglichst konkrete, praxisnahe Regelungen auf Basis bewährter Lösungen erarbeiten. Dies erleichtert nicht nur den Firmen, sondern auch dem BSI die Umsetzung. Je eher hier Klarheit herrscht, desto besser. Damit die Energie in die Abwehr von Cyberangriffen und ein sicheres Wirtschaften gesteckt werden kann, statt in bürokratische Vorgänge.