NIS2: Verwirrung und Chaos von Anfang an
von Sebastian von Bomhard, Vorstand SpaceNet
Was international als wertvoller Schritt zum Schutz der kritischen Infrastruktur und Unternehmen vor Cyberkriminalität angekündigt wurde, wird hierzulande durch einen langwierigen parlamentarischen Prozess deutlich verzögert. Schon von Anfang an schien die Herangehensweise an die Umsetzung der europäischen Vorgabe in Deutschland eher chaotisch als koordiniert.Auch deshalb, da mit vermutlich 40.000 Unternehmen wesentlich mehr betroffen sind, als zunächst angenommen wurde – wobei für viele Unternehmen schwer festzustellen bleibt, ob sie nun unter diese Richtlinie fallen.
Es fehlt an Informationskampagnen und Kontaktpersonen, um Unternehmen bei der Umsetzung der komplexen Anforderungen von NIS2 zu unterstützen.”
Zeitplan bricht zusammen – keine NIS2-Umsetzung vor 2025
Das Gesetz, das eigentlich Mitte Oktober dieses Jahres in allen EU-Mitgliedstaaten eingeführt werden sollte, wird hierzulande wohl kaum vor März 2025 in Kraft treten.”
Damit verfehlt die Bundesregierung den Zeitplan der Europäischen Union um mindestens ein halbes Jahr. Der Nachweis, dass die Bundesrepublik trotz der Verzögerungen fest mit der Implementierung plant, schützt voraussichtlich zwar vor einer Klage der EU und es muss mit keinem Vertragsverletzungsverfahren gerechnet werden.
Dennoch offenbart sich durch den Aufschub auf 2025, dass die Regierung die Dringlichkeit von mehr Cybersicherheit immer noch grundsätzlich unterschätzt.”
Ende September äußerte schon der Bundesrechnungshof scharfe Kritik an der Regierung für ihren Umgang mit NIS2. Die Bonner Behörde bemängelt insbesondere, dass auf deutliche Defizite in der Umsetzung mit keinerlei Nachbesserungen reagiert wurde. Auch im Bundestag zeigt man sich mit dem schleppenden Engagement der Regierung unzufrieden.
Unterdessen hat der Bundesrat den Gesetzentwurf in nur einer Minute durchgewunken und dabei alle Abschlussempfehlungen der Ausschüsse, die sich im Vorfeld mit NIS2 beschäftigt haben, wortlos angenommen.
Für Fragen, auf die dringend Antworten gesucht werden, wie beispielsweise nach Übergangsfristen oder Sonderregelungen für Krankenhäuser, gab es in den rund 61 Sekunden keine Lösungen.”
Während die Netzwerk- und Informationsrichtlinie also weiter im Gesetzgebungsprozess steckt, floriert die Cyberkriminalität ungetrübt. Nach dem aktuellen „Bundeslagebild Cyberkriminalität“ des Bundesinnenministeriums vom Frühsommer haben Cyberangriffe aus dem Ausland im letzten Jahr erneut um 28 Prozent im Vergleich zum Vorjahr zugenommen. Kleine und mittlere Unternehmen ohne eigene IT-Abteilungen sind wie immer besonders hart getroffen. Nun könnten die Unternehmen zwar von sich aus tätig werden, aber nachdem die Details der neuen Regelung noch nicht feststehen, werden wichtige Investitionen aus leicht nach vollziehbaren Gründen zurückgestellt werden.
Tatsächlicher Mehrwert schwer auszumachen
Bevor die gemeldeten Sicherheitsvorfälle in Anzahl und Schwere ausgewertet und sich Unternehmen und Behörden in Zusammenarbeit erprobt haben, wird sich die Wirksamkeit von NIS2 kaum evaluieren lassen. Auch wenn die Idee von einheitlicher Cybersicherheit in der EU in vielen Aspekten attraktiv ist, bleiben in der Praxis zahlreiche Fragezeichen.
Mit dem Mangel an Kommunikation zu NIS2 und dem schleppenden Zeitmanagement wurde eine Atmosphäre der Unklarheit geschaffen, und durch immer mehr Betroffene von Cyberverbrechen explodieren auch die Kosten, die auf eine ohnehin wackelnde Wirtschaft zukommen.”
Der Branchenverband Bitkom schätzt die Verluste, die deutsche Unternehmen allein im Jahr 2023 aufgrund von Attacken verzeichnen mussten, auf fast 150 Milliarden Euro.
Handlungsempfehlungen für Unternehmen
Die Botschaft ist klar: Die Zeit drängt.
Auch wenn sich Unternehmen buchstäblich kaum leisten können, mit der Implementierung belastbarer IT-Sicherheit bis 2025 zu warten, sollten sie die Verzögerungen durch den Gesetzgebungsprozess nun so effizient wie möglich nutzen.”
Betroffene können jetzt Schritte unternehmen, um spätere zeitliche Engpässe bei der Implementierung zu vermeiden. Es bleibt zu hoffen, dass den Unternehmen für die Umsetzung mindestens so viel Zeit eingeräumt wird, wie sich die Regierung bei der Einführung gelassen hat.
Die stockende Umsetzung von NIS2 ist insgesamt ein Symptom eines größeren Problems. Die Ampelregierung reagierte auf konkrete Gefahren für die deutsche Wirtschaft jüngst wiederholt unzureichend.
Um die wirtschaftlichen Interessen des Landes nicht kontinuierlich im Ungewissen zu lassen, braucht es klarere Leitlinien und eine strategische Neuausrichtung hin zum Schutz der Wettbewerbsfähigkeit heimischer Betriebe.”
Es wäre Aufgabe der Regierung, den Unternehmen bei der Einführung verbesserter Sicherheitsmaßnahmen beizustehen und nicht, vermeidbare Belastungen als weitere Bedrohung der ohnehin brisanten Lage hinzuzufügen.Sebastian von Bomhard, SpaceNet
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/218554
Schreiben Sie einen Kommentar