Kernpunkte aus einem aktuellen BSI-Webinar und ein Appell an freiwillige Maßnahmen zum Selbstschutz!
Das Webinar des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Thema NIS2 (Titel: „NIS-2 für die Wirtschaft: Was wir schon sagen können“) am 08.10.2024 hat einige zentrale Punkte für Unternehmen deutlich gemacht.
Persönlicher Eindruck: Es gibt einiges zu tun und die Unternehmen sollten nicht untätig bleiben. Gleichzeitig wurde der NIS2-Druck auf die Unternehmen jedoch deutlich reduziert!
Keine routinemäßigen BSI-Kontrollen – aber Vorsicht vor Verdachtsfällen
Aussage: Das BSI wird aus Kapazitätsgründen keine regelmäßigen Kontrollen durchführen.
Interpretation: Das bedeutet jedoch nicht, dass Unternehmen sorgenfrei agieren können. Im Falle eines konkreten Verdachts wird es sehr wohl zu Überprüfungen kommen. Unternehmen können also keine zufälligen Kontrollen erwarten, aber sie sollten trotzdem darauf vorbereitet sein, im Verdachtsfall bestehen zu können.
Schrittweise Umsetzung – Übergangsfristen unklar
Aussage: Es wird nicht erwartet, dass Unternehmen unmittelbar nach Inkrafttreten der NIS2-konformen Gesetzgebung vollständig compliant sind.
Interpretation: Es gibt jedoch keine definierten Übergangsfristen. Dies schafft Unsicherheit, insbesondere im Fall eines Cybervorfalls. Unternehmen sollten deshalb bereits jetzt damit beginnen, sich auf die neuen Anforderungen vorzubereiten, auch wenn noch einige Detailfragen offen sind.
Umsetzung nach Stand der Technik – Schritt für Schritt
Aussage: Das BSI geht davon aus, dass Unternehmen ihre Maßnahmen nach dem Stand der Technik „nach und nach“ umsetzen können.
Interpretation: Auch hier steht im Raum, wie dies mit der NIS2-Richtlinie vereinbar ist, da keine Übergangsfristen vorgesehen sind. Das bedeutet, dass Unternehmen, die auf einen vollständigen Schutz erst nach und nach hinarbeiten, im Ernstfall möglicherweise dennoch rechtliche Konsequenzen tragen könnten.
Unklare Nachweispflichten
Ein weiterer unsicherer Faktor sind die Nachweispflichten. Das BSI hat noch keine klare Linie vorgegeben, wie der Nachweis erbracht werden soll, dass die Vorgaben aus NIS2 eingehalten werden. Und bei bestehenden KRITIS-Unternehmen ist scheinbar auch der Übergang von einer zweijährigen auf die dreijährige Nachweispflicht nicht endgültig geklärt. Aussagen wie „wir gehen davon aus“ oder „wir werden es schaffen“ deuten darauf hin, dass noch Unklarheiten bestehen.
Unternehmen sollten nicht warten, sondern jetzt handeln
Trotz der scheinbaren „Verschnaufpause“ sollten Unternehmen nicht den Fehler machen, sich auf die derzeit noch unklaren Regelungen zu verlassen. Ein kürzlich veröffentlichter Cyber-Resilienz-Report zeigt auf, dass viele deutsche Unternehmen, die Opfer von Ransomware-Angriffen wurden, trotz vorhandener Resilienz-Strategien bereitwillig Lösegeld gezahlt haben. Dies deutet darauf hin, dass viele Unternehmen ihre eigenen Sicherheitsvorkehrungen überschätzen und somit vermeidbare Risiken eingehen.
Fazit: Präventives Handeln ist der Schlüssel
Anstatt abzuwarten, sollten Unternehmen ihre Prozesse und Risiken jetzt analysieren und geeignete Schutzmaßnahmen implementieren. Dies sollte nicht aufgrund von externem Druck geschehen, sondern aus eigenem Antrieb und Verantwortungsbewusstsein. Als positiver Nebeneffekt werden die Anforderungen der NIS2-Richtlinie damit weniger bedrohlich, da Unternehmen bereits gut vorbereitet sind.
Mein Appell an alle Unternehmen: Nutzt die aktuelle Zeit, um eure Sicherheitsstrategien zu überprüfen und zu verbessern. Nicht weil NIS2 es fordert, sondern weil die Bedrohung durch Cyberangriffe real ist und jedes Unternehmen betreffen kann. Durch aktives Handeln könnt ihr euer Unternehmen langfristig schützen.