NIS-2: Deutscher Mittelstand ist noch nicht gut vorbereitet

Am 17. Oktober 2024 tritt die NIS-(kurz für Network und Information Security)-2-Richtlinie in Deutschland offiziell in Kraft. Die EU-Richtlinie zielt darauf ab, die Cybersicherheit und -resilienz von Unternehmen zu stärken. Aktuell ist das Thema bei vielen Unternehmen aber noch nicht in der Chefetage angekommen. Diesen Eindruck hat der Gewerbeversicherungsspezialist Finanzchef24.

Die Richtlinie NIS-2 betrifft in Deutschland laut Angaben der Bundesregierung rund 28.500 Unternehmen. Sie wird aktuell ins deutsche Recht übernommen. Das Bundeskabinett hat dafür den NIS-2-Entwurf am 24. Juli 2024 beschlossen.

Die neue Richtlinie soll Firmen resilienter gegen Cyberangriffe machen. „Mit unserem Gesetz erhöhen wir den Schutz vor Cyberangriffen, egal ob sie staatlich gelenkt oder kriminell motiviert sind“, erklärte Bundesinnenministerin Nancy Faeser zur Verabschiedung. Künftig sollen mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen.

Die NIS-2-Richtlinie soll zunächst für Unternehmen gelten,

• die mehr als 50 Mitarbeiter beschäftigen und
• mehr als 10 Millionen Euro Umsatz erwirtschaften und
• die in kritischen Wirtschaftsbereichen tätig sind.

Viele Firmen gehören zum kritischen Sektor und wissen es nicht

„Das Problem: Vielen Unternehmen ist gar nicht bewusst, dass sie in einem kritischen oder besonders wichtigen Sektor unterwegs sind“, sagt Payam Rezvanian, Mitglied der Geschäftsleitung bei Finanzchef24. Dieses Problem sieht er vor allem bei Mittelständlern aus den Branchen Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur, Banken und Finanzmärkte.

„Vom Prinzip ist der Feinkosthändler mit Catering ab einer gewissen Größe ebenso betroffen wie ein Baugeldvermittler, der zu Krediten verhilft“, erklärt Rezvanian. Das Team von Finanzchef24 geht daher laut eigenen Recherchen eher von 40.000 betroffenen Firmen aus.

Crowdstrike-Vorfall sollte als IT-Weckruf dienen

Die kürzlich durch den Update-Fehler Crowdstrike verursachten weltweiten IT-Ausfälle sollten für alle Firmen ein Weckruf sein, sich widerstandsfähiger gegen IT-Notfälle aufzustellen, heißt es vom Finanzchef24-Team.

Gerade jene Unternehmen, die unter den Mindestvorgaben liegen, sollten aus Sicht des Online-Gewerbeversicherers die verbleibende Zeit bis zum Inkrafttreten im Oktober nutzen. „Denn Malware-Bots machen nicht vor der Unternehmensgröße halt“, so Rezvanian.

Mehr zum Thema

Windows-Systemausfall

Das müssen Versicherer zum Crowdstrike-Vorfall definitiv wissen

„Fotos vom Sommerfest“

Wie Kriminelle arglose Mitarbeiter für Cyberangriffe ausnutzen

Nach den Vorwürfen

IGVM-Chef Stefan Rumpp über seinen Brief an Cogitanda

Windows-Systemausfall

Das müssen Versicherer zum Crowdstrike-Vorfall definitiv wissen

„Fotos vom Sommerfest“

Wie Kriminelle arglose Mitarbeiter für Cyberangriffe ausnutzen

Nach den Vorwürfen

IGVM-Chef Stefan Rumpp über seinen Brief an Cogitanda

Ransomware-Angriffe sind aus Rezvanians Sicht mittlerweile weit verbreitet. Dabei suchen die Angreifer nach einer Schwachstelle im System, verschlüsseln die Daten und erpressen anschließend das Unternehmen. Diese Methode sei besonders beliebt und einfach durchzuführen. „Cybercrime as a Service“ sei mittlerweile als Geschäftsmodell etabliert.

Deshalb sind strengere Sicherheitsvorgaben für die IT von Firmen sehr wichtig. Dazu zählen aus Sicht von Rezvanian konkrete Maßnahmen wie:

• regelmäßige Risikoanalysen,
• Stresstests,
• Notfallpläne,
• tägliche Datensicherungen,
• Sicherheitstrainings für Mitarbeiter,
• 2-Faktor-Authentifizierung oder
• eine angemessene Rechteverwaltung.

Unternehmen sollten die NIS-2-Richtlinie als Anlass nehmen, die IT zu durchleuchten. Diese Aufgabe sieht Rezvanian bei den Geschäftsführern. „Geschäftsführer und IT-Leiter können persönlich haftbar gemacht werden, wenn sie ihre Sicherheitsverpflichtungen nicht erfüllen“, warnt der Experte.

Ab Oktober wird der Abschluss einer Cyberversicherung schwieriger

Das Team von Finanzchef24 rät Firmen jetzt, eine Cyberversicherung zu prüfen. Denn ab Oktober 2024 werde der Abschluss dieser Versicherung für Unternehmen wegen der neuen Richtlinie schwieriger.

Wer in den kommenden Wochen handelt, könne doppelt profitieren. „Wer jetzt einen Angebotsprozess für IT-Cyberversicherungen durchläuft, kann im Zuge dessen die Mindestanforderungen ins eigene Unternehmen übertragen“, erklärt Rezvanian.

Einige Versicherer bieten sogenannte Antragsmodelle an: Dort können Unternehmer Angaben zur eigenen IT-Sicherheit machen und prüfen, ob sie eine Versicherung erhalten würden. So erhalten Firmen auch Hinweise auf wesentliche IT-Schwachstellen.