NIS-2 und andere EU-Vorgaben
„Ich empfehle jedem betroffenen Unternehmen, nicht zu warten“
Fortsetzung des Artikels von Teil 2
Auditanalyse unerlässlich, NIS-2 im EU-Vergleich und Fachkräftemangel
connect professional: Eine Auditpflicht gibt es ja Stand jetzt noch nicht mit NIS-2 oder?
Mielke: Es gibt eine Nachweispflicht nach drei Jahren.
connect professional: Das heißt, es gibt ein bisschen Handlungsspielraum für Unternehmen?
Mielke: Naja, gemeldet werden müssen sie trotzdem. Und wenn es zu einem Sicherheitsvorfall kommt, der wiederum im Rahmen der Meldekette gemeldet werden muss, kann natürlich dann auch die zuständige Behörde – wir gehen jetzt mal vom BSI aus – sagen: Wir müssen eine Ad-hoc-Prüfung durchführen. Das kann sich alles noch ändern. KRITIS-Betreiber werden ja auch zum Beispiel nach den Maßgaben des §8a BSIG auditiert. Wichtig ist, dass die Unternehmen dann gemeldet werden, entsprechend beim BSI oder bei der zuständigen Behörde. Und dann können weitere Maßnahmen folgen.
Nichtsdestotrotz: Auch wenn sie nicht auditiert werden, ist es immer wichtig, sich von unabhängigen Unternehmen und Prüfdienstleistern einen Draufblick geben zu lassen. Denn gerade unabhängige Audits bieten vielleicht noch den Mehrwert für die Unternehmen, dass nicht alles nur durch die Unternehmensbrille gesehen wird. Man kann natürlich auch hier wiederrum auf die Erfahrungswerte der Auditoren setzen. Auch wenn es keine Pflicht ist; es empfiehlt sich, zumindest eine Gap-Analyse oder ein Audit durchzuführen.
connect professional: Bis zum 17. Oktober müssen die EU-Mitgliedsstaaten die NIS-2-Richtlinie umgesetzt haben. Gibt es denn irgendein Land, wo die Richtlinie schon umgesetzt worden ist?
Mielke: Nein, da ist noch keiner so weit. Und jetzt kommen auch schon die ersten Stimmen aus Ländern auf, zum Beispiel Dänemark oder Niederlande, dass man die Frist reißen werde zum 17. Oktober. Das ist ein durchaus spannendes Thema, was vielleicht auch noch gar nicht überall in den Unternehmen angekommen ist. Wir haben ja die deutsche Brille auf, aber es gibt ja auch vielleicht Partnerunternehmen in Europa. Auch da müssen natürlich Dinge berücksichtigt werden. Und ob alle Unternehmen wirklich in Europa die Punkte auf dem auf dem Schirm haben oder im Fokus haben, wage ich zu bezweifeln. (Anm.d.Red.: In der Zwischenzeit haben sich auch in Deutschland die Stimmen gemehrt, dass man die Frist nicht einhalten werde. Dazu mehr in folgendem Artikel.)
Ungarn scheint, glaube ich, sehr weit zu sein in der Umsetzung, aber es gibt meines Kenntnisstandes nach noch kein verabschiedetes Gesetz. Österreich zum Beispiel – und das finde ich hier ganz gut gelöst – hat auch Webseiten veröffentlicht, wo Unternehmen Hilfestellung und auch die Orientierung und Erklärung zu NIS-2 geboten wird.
connect professional: Wenn es jetzt schon ein paar Länder gibt, die den Fingerzeig gegeben haben, sie werden wahrscheinlich die Deadline 17. Oktober reißen. Ist es dann wahrscheinlich, dass die EU an dieser Deadline noch etwas ändern wird?
Mielke: Nein. Das Problem ist eher, dass dann die Länder bezahlen müssen. Die kriegen dann durch die EU eine entsprechende Strafe, weil sie das nicht umgesetzt haben – und die Länder nehmen das einfach in Kauf. Es gibt ja auch bei mir in der Präsentation eine Seite von der EU, wo dann nochmal drinsteht: Wer hat was umgesetzt? Wo sind dann auch die entsprechenden Behörden? Wo sind die entsprechenden Kontakte beschrieben, dokumentiert und veröffentlicht? Aber es steht oft noch nicht viel drin auf den Länderseiten. (Anm.d.Red.: Die Präsentation stammt aus Herrn Mielkes Vortrag, den er im Rahmen des NIS-2-Webinartages am 30. Januar 2024 gehalten hat.)
connect professional: Apropos Behörden. In Deutschland geht es ja Stand jetzt um das BSI. Müsste hier strukturell nicht noch einiges passieren, um der größeren Unternehmenszahl mit NIS-2 entsprechen zu können?
Mielke: Man muss sich auch personell aufstellen. Ich vergleiche das gerne mit der Datenschutzgrundverordnung, weil auch hier sind die Behörden einfach personell unterbesetzt. Und hier haben wir aufgrund des Föderalismus die Bundesländer, wo wir das Ganze auf Länderebene haben. Beim BSI haben wir das BSI. Das muss personell aufgestockt werden oder weitere Unterstützungsleistungen angefordert werden. Aber ich habe vom BSI jetzt auch noch nichts gehört diesbezüglich.
connect professional: Aber woher die Fachkräfte nehmen?
Mielke: Das ist der nächste Punkt. Auch die Unternehmen brauchen Fachkräfte im Kontext der Informationssicherheit, gerade mittelständische Unternehmen. Natürlich gibt es genug hochqualifizierte Fachkräfte in den Mittelstandsunternehmen. Aber möglicherweise werben wiederum andere, größere Unternehmen diese ab.
Und nicht nur das: Wir haben ja in der EU diese Cybersicherheitsstrategie mit den ganzen Verordnungen, Gesetzen und Richtlinien etc. – das wird uns alles einholen. Gerade der Fachkräftemangel ist ein großes Problem. Und es wird auch noch größer werden. Denn es gibt nicht viele, die auch das Ganze umsetzen können, die das Know-how haben. Die muss ich auch erst einmal ausbilden und schulen.
connect professional: Herr Mielke, vielen Dank für Ihre Zeit und das Gespräch.
Hinweis der Redaktion: Das Interview wurde am 21. Februar 2024 geführt. Weitere Ausschnitte vom Interview mit Tobias Mielke – zum Beispiel zum Anwendungsbereich der NIS-2 – können Sie hier einsehen.
1 https://eur-lex.europa.eu/eli/dir/2022/2555
2 https://it-sicherheit-und-recht.de/wp-content/uploads/2024/03/CI1_17002_41_22-86-32-NIS2UmsuCG-2.-RefE-22-12-2023-09-58h.pdf (Referentenentwurf vom 22.12.2023)
3 https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Managementsystemen/ISO-27001-Basis-IT-Grundschutz/iso-27001-basis-it-grundschutz_node.html
4 https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
5 https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html
6 https://eur-lex.europa.eu/eli/dir/2022/2557/oj
7 https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/KRITIS-DachG.html
8 https://digital-strategy.ec.europa.eu/de/policies/digital-services-act-package
9 https://www.ce-richtlinien.eu/ce-richtlinien/maschinen-richtlinie/
10 https://single-market-economy.ec.europa.eu/sectors/electrical-and-electronic-engineering-industries-eei/radio-equipment-directive-red_en
- „Ich empfehle jedem betroffenen Unternehmen, nicht zu warten“
- Lieferkette, weitere Normen und Gesetze sowie der Begriff Cyberhygiene
- Auditanalyse unerlässlich, NIS-2 im EU-Vergleich und Fachkräftemangel
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Eset-Umfrage zur EU-Richtlinlie
Deutsche Unternehmen sind nicht auf NIS-2 vorbereitet
EU-Verordnung für Finanzsektor
Spotlight: DORA
SecDays
Securepoint geht mit über 1.000 IT-Partnern auf Tour
Virtuelle Themenreihe NIS-2 / Teil 2
Cybersicherheit nicht nur um der Compliance willen
Informations- und Netzsicherheit
NIS-2: Für Unternehmen wird die Zeit knapp
NIS-2-Richtlinie
„Das Risiko verringern – darum geht es im Grunde mit NIS-2“
Advertorial
Resilienz gegen Insider-Bedrohungen vor dem Hintergrund von NIS2
NIS-2-Richtlinie
Daueraufgabe IT-Sicherheit
Vorbereitung auf NIS-2
Herausforderung OT-Sicherheit meistern
Fortsetzung der Webinar-Reihe
Ist Ihr Unternehmen bereit für NIS-2?
Webinar-Themenreihe NIS-2
NIS-2 als Chance begreifen
