Neue Vorgaben für IT- und Cybersicherheit - IHK: "Unternehmen erwarten Planungssicherheit und Bürokratie-Vermeidung"

(Siegen) - Weltweit kam es in den vergangenen Wochen zu IT-Ausfällen in zahlreichen Branchen, darunter auch bei Betreibern kritischer Infrastrukturen in Deutschland. Grund für das tagelange Chaos war nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ein fehlerhaftes Update einer IT-Sicherheits-Lösung. Betroffen waren hierdurch auch Kommunalverwaltungen, etwa der Kreis Siegen-Wittgenstein.

"Nicht zuletzt aufgrund solcher Ereignisse und der angespannten geopolitischen Lage ist das Thema Cybersicherheit bei Unternehmen ganz oben auf der Agenda - unabhängig von Größe und Branchenzugehörigkeit", betont Hans-Peter Langer, Geschäftsführer der IHK Siegen. Die Betriebe leisteten bereits eine ganze Menge, um sich vor Angriffen zu schützen und im Fall einer Attacke die richtigen Maßnahmen zu ergreifen. Eigeninitiatives Handeln und ein Bewusstsein für Risiken seien jedoch nur eine Seite der Medaille, regulatorische Anforderungen die andere: Das gelte auch für die 2023 in Kraft getretene zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie). Den Gesetzentwurf zur Umsetzung in deutsches Recht hat das Bundeskabinett vor wenigen Tagen verabschiedet. Für die Wirtschaft spielt dabei insbesondere das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz des Bundes eine Rolle.

Mit den neuen Regelungen wird die Zahl der Unternehmen, die künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem BSI zu erfüllen haben, deutlich zunehmen. Dabei wird zwischen "wichtigen" und "besonders wichtigen" Kategorien unterschieden. Zur zweiten Kategorie zählen beispielsweise Betreiber kritischer Infrastrukturen aus den Sektoren Energie, Telekommunikation, Wasser, Ernährung oder Transport. Bundesweit sollen nach den im Gesetzentwurf festgelegten Kriterien rund 30.000 Unternehmen unter die NIS-2-Richtlinie fallen - die genaue Kategorisierung erfolgt mittels Kennzahlen und Schwellenwerten zu Jahresumsatz und Mitarbeiterzahl. Neben den faktisch durch das Gesetz verpflichteten Unternehmen werden letztlich aber auch viele weitere Betriebe unter Zugzwang stehen, wenn sie in bestimmte Lieferketten eingebunden sind.

Die Umsetzung der EU-Richtlinie in nationales Recht verpflichtet Betriebe beispielsweise zur Einrichtung eines Risikomanagements oder zu Nachweispflichten zur internen IT-Sicherheit. Zudem müssen sie künftig "erhebliche Sicherheitsvorfälle" innerhalb von 24 Stunden einer Meldestelle des BSI und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe bekanntgeben. Neu ist auch, dass künftig die Geschäftsleitung zu entsprechenden Schulungen verpflichtet wird - ein konsequenter Schritt, wie IHK-Referatsleiter Roger Schmidt einordnet: "IT-Sicherheit muss immer auch Chefsache sein und darf nicht allein der IT-Abteilung auferlegt werden!"
Eine Umsetzung der Richtlinie bis zum 18. Oktober 2024 - wie von der EU vorgesehen - ist nach Angaben des Bundesinnenministeriums allerdings sehr unwahrscheinlich. Schließlich muss das Gesetz noch den Bundestag passieren, wobei zahlreiche Diskussionen und Änderungen zu erwarten sind. "Die Unternehmen brauchen aber dringend Planungssicherheit", unterstreicht Hans-Peter Langer. "Sie erwarten, dass die Vorgaben maximal unbürokratisch gestaltet werden." Zudem komme es darauf an, dass die neuen Sicherheitsstandards auch für die öffentliche Verwaltung gelten - und zwar auf allen Ebenen. "Denn deren Funktionieren ist für die Wirtschaft enorm wichtig und darf nicht durch Cybersicherheitsvorfälle beeinträchtigt werden." Ein Punkt, den auch die Deutsche Industrie- und Handelskammer (DIHK) in ihrer Stellungnahme zum geplanten Gesetz besonders hervorhebt.

Die Realisierung der NIS-2-Richtlinie allein werde nicht ausreichen, um die Unternehmen in Deutschland vor Cyberangriffen zu schützen, ergänzt Roger Schmidt: "Sicherheitsbehörden, europäische und nationale Institutionen und die Betriebe müssen geschlossen zusammenarbeiten, um ein hohes Sicherheitsniveau für die Wirtschaft zu gewährleisten. 100-prozentige Sicherheit kann es aber nie geben." Die IHK Siegen hat vor dem Hintergrund der NIS-2-Richtlinie bereits mehrere Infoveranstaltungen durchgeführt, weitere sind in Planung. Unter ihk-siegen.de gibt es weitere Infos zu diesem Thema (Seiten-ID 4592) sowie zum kostenlosen Angebot eines hardwarebasierten Pen-Tests für Unternehmen zur Identifikation von Sicherheitslücken (Seiten-ID 4565).

Quelle und Kontaktadresse:
Industrie- und Handelskammer Siegen (IHK) Pressestelle Koblenzer Str. 121, 57072 Siegen Telefon: (0271) 3302317, Fax: (0271) 330244384

(jg)