Es war ein holpriger Weg, bis das NIS-2-Umsetzungsgesetz am 24. Juni 2024 im Kabinett beschlossen wurde, doch es liegen noch ein paar Stolpersteine auf dem Weg, bis es im nächsten Jahr ins Gesetzblatt geht. Während andere Länder wie Kroatien bereits Fortschritte erzielt haben, stand die nationale Umsetzung in Deutschland bisher noch aus.
Der Kabinettsbeschluss listet eine Erhöhung des jährlichen Erfüllungsaufwands für die Wirtschaft um rund 2,2 Milliarden Euro auf, davon 1,9 Millionen Euro für Bürokratiekosten aus zusätzlichen Reporting-Verpflichtungen. Bereits heute sind Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste verpflichtet, ein Mindestniveau an IT-Sicherheit zu gewährleisten.
Der neue Regelungsentwurf führt bestehende Normen fort, erweitert jedoch den Anwendungsbereich erheblich, sodass in Zukunft deutlich mehr Unternehmen betroffen sein werden.
Unsicherheit über Betroffenheit
Zukünftig sollen alle Einrichtungen, die als „besonders wichtig“ oder „wichtig“ gelten, geeignete und angemessene technische sowie organisatorische Maßnahmen treffen. Damit sollen IT-Störungen vermieden werden, die ihre Dienstleistungen beeinträchtigen könnten. „Wichtig“ ist ein Unternehmen als Teil eines regulierten Sektors wie unter anderem Energie-, Abfall oder Wasserwirtschaft, bereits mit 50 Mitarbeitern, einem Umsatz von über 10 Millionen Euro und eine Bilanzsumme von mehr als 10 Millionen Euro.
Viele kleine und mittlere Unternehmen (KMU) haben sich bislang nicht auf die bevorstehenden Anforderungen der NIS-2-Richtlinie eingestellt und haben Schwierigkeiten, ihre eigene Betroffenheit zu identifizieren. Die kurzfristige Veröffentlichung von Durchführungsrechtsakten durch die EU-Kommission, die speziell für Anbieter digitaler Dienste gelten und ebenfalls zu beachten sind, führt zudem zu zusätzlicher Unsicherheit.
Belastungen für mittelständige Unternehmen könnten sich aus einer anfänglich fehlenden Routine bei der Umsetzung der Vorschriften ergeben.
Strafen bedrohen KMU in ihrer Existenz
Die drohenden Bußgelder bei Nichteinhaltung der neuen EU-Cybersicherheitsvorgaben sind weiterhin enorm. Bei Verstößen gegen Risikomanagementmaßnahmen und Meldepflichten werden Bußgelder von bis zu 10 Millionen Euro oder bei Unternehmen mit über 500 Millionen Euro Jahresumsatzes 1,4 Prozent des Jahresumsatzes vorgesehen.
Eine Strafe von bis zu 10 Millionen Euro könnte vor allem kleine und mittelständische Unternehmen existenziell bedrohen. Diese sehen sich mit unklaren Vorgaben konfrontiert, die übermäßige Anforderungen und Risiken mit sich bringen könnten.
Es ist positiv zu beurteilen, dass die Vorgaben der NIS-2-Richtlinie bezüglich der Festlegung von Geldbußen generell restriktiv angewendet werden, und das sollte so beibehalten werden.
Die Bundesregierung sollte sich bei der nationalen Umsetzung der NIS-2-Richtlinie stärker an die europäischen Vorgaben halten und ausreichend lange Umsetzungsfristen für Unternehmen ins Auge fassen.
Es ist begrüßenswert, die unterschiedlichen Sicherheitsniveaus in der EU anzugleichen, da einheitliche Sicherheitsanforderungen europaweit agierenden Unternehmen erhebliche Erleichterungen bringen und die Fragmentierung des digitalen Binnenmarktes sowie Wettbewerbsverzerrungen reduzieren.
Lieferantenverträge in Gefahr
Grundsätzlich kann die NIS-2-Richtlinie ihre volle Wirkung nur entfalten, wenn ihre Umsetzung vorausschauend in eine konsistente und ganzheitliche Strategie zur Verbesserung der Cybersicherheit in Deutschland als Teil der EU eingebettet wird. Wichtige Bausteine sind die Einführung risikoadäquater Anforderungen, eine fortlaufende Effizienzsteigerung der vorhandenen und umzusetzenden Prozesse sowie die Verstärkung der Kooperation von Staat und Wirtschaft zum Ausbau des Cyberschutzes für den Industriestandort Deutschland.
Überschneidungen mit anderen rechtlichen Vorgaben sollten vermieden werden, um den Erfüllungsaufwand für Unternehmen gering zu halten und unnötige Bürokratie zu vermeiden.
Mittelständische Unternehmen, die die Erfüllung der normativen Anforderungen nicht nachweisen können, bekommen ihre Lieferantenverträge gekündigt. Die Umsetzungsfristen seitens der Geschäftspartner sind hierbei oft genug brutal kurz. Dabei spielt es keine Rolle, dass die Anforderungen der Gesetzgebung noch nicht vollständig klar sind. Die großen Unternehmen als Gatekeeper in diesem Bereich verschicken schon jetzt eigene Anforderungskataloge "NIS-2 Ready".
Zusammenarbeit optimieren
Es ist daher entscheidend, dass die Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) klare Verantwortlichkeiten und Zuständigkeiten definieren, um redundante Anforderungen zu vermeiden und effiziente Verwaltungsverfahren zu gewährleisten. Die Unternehmen sollten sich frühzeitig mit der Einführung eines ISMS befassen, um auf mögliche Anforderungen vorbereitet zu sein.
Die Politik muss daher schnell handeln um einen fairen Wettbewerb und die Sicherheit der Unternehmen zu gewährleisten! Es ist wichtig, die Zusammenarbeit zwischen Bund und Ländern zu stärken und bestehende Strukturen und Prozesse zu optimieren, um eine erfolgreiche Umsetzung der NIS-2-Richtlinie zu gewährleisten. Nur so können Deutschlands Unternehmen den neuen Herausforderungen der Cybersicherheit erfolgreich begegnen und ihre Zukunft sichern.