Axians: Gesetzgebungsverfahren zur NIS2-Umsetzung gescheitert
Volker Scholz, Information Security Architect bei Axians, hat das Gesetzgebungsverfahren zur NIS2-Umsetzung kommentiert. Das vorläufige Scheitern des laufenden Gesetzgebungsverfahrens zum NIS2-Umsetzungsgesetz in dieser Legislaturperiode sorgt derzeit für Schlagzeilen und Verunsicherung. Für die meisten Unternehmen besteht dazu jedoch kein Anlass. Nur etwa ein Prozent der Unternehmen sind in Deutschland direkt betroffen, durch ihre Einbindung in die Lieferkette können es insgesamt bis zu sieben Prozent sein. Es handelt sich dabei um Konzerne und KMU, die kritische Infrastrukturen betreiben oder in kritischen Wirtschaftssektoren tätig sind, sowie um wichtige Zulieferer.
Mittelständische und kleinere Unternehmen sollten jedoch nicht auf das Wirksamwerden des NIS2-Umsetzungsgesetzes warten. Denn die geforderten Risikomaßnahmen der Richtlinie sind bereits seit Jahren bekannt und nicht Gegenstand der aktuellen politischen Diskussionen. Eine solide Sicherheitsstrategie ist auch unabhängig von regulatorischen Vorgaben sinnvoll, um wirtschaftliche Risiken zu minimieren.
Verzögerungen in Deutschland
Die Gründe für das Scheitern des Gesetzgebungsverfahrens zum NIS2-Umsetzungsgesetz sind vielfältig. Fest steht jedoch: Wegen der anstehenden Bundestagswahl kann ein neues nationales Gesetz erst von der neuen Regierung – also frühestens Ende 2025 – verabschiedet werden. Aber auch ohne ein neues Gesetz gilt die NIS2-Richtlinie bereits in der EU. Wer jetzt nicht handelt, verspielt wertvolle Zeit, die er für die Umsetzung der Vorgaben schon nutzen könnte. Denn mit Wirksamwerden des NIS2-Umsetzungsgesetzes müssen die Maßnahmen bereits umgesetzt sein. Eine Übergangsfrist ist nicht vorgesehen.
Anforderungen sind bekannt
Die zugrunde liegende EU-Richtlinie ist seit 2022 bekannt und ihre Risikomaßnahmen bleiben bestehen. Die Verzögerung bis mindestens Ende 2025 bietet eine gute Gelegenheit, sich angemessen vorzubereiten. Geforderte Maßnahmen wie Risikomanagement, Incident Response und Business Continuity entsprechen bereits seit Jahren dem Stand der Technik und sind keine neuen Konzepte, sondern bewährte Praktiken. Die entscheidende Neuerung ist die ausdrückliche gesetzliche Verantwortung der Geschäftsleitung für die Umsetzung der Maßnahmen.
Führungskräfte sollten sich bewusst sein, dass Cybersecurity nicht mehr nur eine technische Herausforderung ist, sondern eine strategische Aufgabe auf Managementebene. Unternehmen, die bereits mit Standards wie ISO 27001 oder dem BSI-Grundschutz arbeiten, werden feststellen, dass sie viele der Anforderungen schon heute erfüllen. Jetzt geht es darum, diese Standards im Hinblick auf NIS2 zu schärfen und die gesamte Organisation für Cyber-Security-Risiken zu sensibilisieren.
Wer schon heute Prozesse etabliert, kann sich einen Wettbewerbsvorteil verschaffen – denn Cybersicherheit ist nicht nur eine gesetzliche Pflicht, sondern auch ein Qualitätsmerkmal. Zudem fällt es Betroffenen leichter, sich auf zukünftige Anforderungen einzustellen, wenn sie sich bereits mit den Grundlagen von NIS2 vertraut gemacht haben. Unternehmen sollten mit diesen fünf Schritten beginnen:
- Betroffenheitsanalyse durchführen: Falls nicht längst geschehen, sollten Unternehmen abklären, ob sie direkt oder indirekt betroffen sind, um gezielte Maßnahmen zu ergreifen.
- Sicherheitsorganisation etablieren: Verantwortlichkeiten für Cybersicherheit definieren und sicherstellen, dass die Geschäftsleitung involviert ist.
- Meldeprozesse entwickeln: Klare Strukturen für Incident Response und Meldungen an das BSI festlegen, um auf Vorfälle vorbereitet zu sein.
- IT-Risiken identifizieren: Ein strukturiertes Asset Management aufbauen und Sicherheitsrisiken systematisch bewerten.
- Notfallpläne und Business Continuity vorbereiten: Strategien entwickeln, um geschäftskritische Prozesse auch bei IT-Ausfällen aufrechtzuerhalten und Resilienz zu stärken.
Strategie statt Unsicherheit: Implementation Acts bringen weitere Klarheit
Aktuell liegen bereits zwei Implementation Acts der EU und der Mitgliedsstaaten vor, die die Anforderungen zu NIS2 für IT-Dienstleister und zur Meldung von schwerwiegenden Sicherheitsvorfällen konkretisieren. Es ist davon auszugehen, dass auch weitere branchenspezifische Anforderungen in neuen Implementation Acts spezifiziert werden. Das sollte Unternehmen aber nicht davon abhalten, bereits jetzt grundlegende Maßnahmen umzusetzen. Sie sind gut beraten, die Verzögerung als Chance zu nutzen, anstatt in Unsicherheit und Stillstand zu verfallen. Externe Dienstleister wie Axians helfen gerne, sich NIS2-konform aufzustellen. Wer frühzeitig mit der Anpassung der internen Prozesse beginnt, hat später weniger Aufwand.
