Es tut mir leid, Herr Prof. Kipker, aber Ihre These lässt sich nahezu vollständig widerlegen.
Die Eintrittswahrscheinlichkeit einer anlasslosen Prüfung durch die staatliche Aufsicht ist zunächst so gering, dass sie in die Kategorie "vernünftigerweise nicht anzunehmen" fällt. Wenn einer der Faktoren des Risikoindex gegen null und der andere Faktor nicht gegen unendlich strebt, ergibt sich kein unmittelbarer Handlungszwang.
Soweit so richtig...
Im Rahmen einer rationalen Betriebsführung gibt es kein Primat der Erhöhung des Sicherheitsniveaus. Vielmehr werden unterschiedliche Risiken gegeneinander abgewogen und risikomindernde Maßnahmen genau dann durchgeführt, wenn der Schwellenwert des akzeptierten Risikos überschritten wird.
Die staatliche Sanktion wird in diesem Bereich für die mittelständischen Unternehmen aber bei der Abwägung der Risiken nie eine Rolle spielen, weil sich die Eintrittswahrscheinlichkeit auch nach Monaten und Jahren nur geringfügig ändert. Selbst wenn ein Prüfkatalog vorliegt, ändert sich kaum etwas am Verhältnis Ressourcen der Aufsicht zur Prüfung / Anzahl der überwachten Unternehmen. Das ist auch bei den Sanktionen so, die sich aus dem Datenschutzrecht ergeben. Hier kommen in einem Flächenbundesland etwa 10 Personen der Aufsicht, die sich mit Prüfung und Sanktion beschäftigen, auf 4 Millionen (in Worten vier Millionen!) zu überwachende Units. Das Verhältnis wird sich bei NIS2 nicht ganz so dramatisch darstellen, trotzdem bleibt die Eintrittswahrscheinlichkeit einer anlasslosen Prüfung durch eine staatliche Aufsicht für KMU und MU auch in Zukunft sehr gering.
Hinzu kommt, dass die zu erwartende Schadenssumme in Form eines Bußgelds kaum zu spezifizieren ist, da es sich hier um Einzelfallprüfungen handelt, bei der die Aufsicht sehr große Spielräume hat. Die Aufsicht ist noch nicht einmal daran interessiert, in großem Umfang rechtsmittelfähige Bescheide zu erlassen, weil jeder dieser Bescheide für die Aufsicht das Risiko in sich birgt, dass die Gegenseite den Rechtsweg beschreitet, wofür der Aufsicht wieder nicht die notwendigen Ressourcen zur Verfügung stehen.
Was ist also das eigentliche Risiko fĂĽr die Unternehmenswerte und damit treibende Kraft bei der Umsetzung der normativen Anforderungen im Mittelstand?
Der Marktzugang!
Der Marktzugang wird unmittelbar über die Marktbeziehungen geregelt und das bei einem grundsätzlich asymmetrischen Machtverhältnis zwischen den Marktteilnehmern. Die Gatekeeper in diesem Markt sind in der Lage und aufgrund der Notwendigkeit einer Risikoabwälzung motiviert, die Erfüllung regulatorischer Anforderungen als notwendige Bedingung für den Marktzugang zu bestimmen und darüber eine eigene Aufsicht zu führen, die völlig losgelöst von der staatlichen Aufsicht ist. Das Ressourcenverhältnis zwischen Aufsicht und mittelständischen Unternehmen stellt sich hier völlig anders dar und die Wahrscheinlichkeit einer Prüfung ist hier nicht mehr sehr gering, sondern sehr hoch.
Die Sanktion ist der Marktausschluss.
Die zu erwartende Schadenssumme lässt sich anhand historischer Daten sehr gut spezifizieren, und zwar in einer Prognose des Verlustes von Umsatz und Gewinn als Folge des Marktausschlusses. Damit ist auch der zu vertretende Aufwand in technisch-organisatorische Maßnahmen zur Senkung des Risikos eines Marktausschlusses recht genau zu ermitteln und die Durchführung der Maßnahmen zu begründen.
In einfachen Worten...
Mittelständische Unternehmen, die die Erfüllung der normativen Anforderungen nicht nachweisen können, bekommen ihre Lieferantenverträge gekündigt. Die Umsetzungsfristen seitens der Geschäftspartner sind hierbei oft genug brutal kurz. Dabei spielt es noch nicht einmal eine Rolle, dass die Anforderungen im Rahmen der Gesetzgebung noch nicht einmal vollständig klar sind. Die großen Unternehmen als Gatekeeper in diesem Bereich verschicken schon jetzt eigene Anforderungskataloge "NIS2 Ready".
Hinzu kommt das stetig wachsende Risiko, am Markt keine spezialisierten Dienstleister zu finden, die die Anforderungen umsetzen und die Umsetzung bestätigen können. Die Eintrittswahrscheinlichkeit nimmt über die Zeit zu, weil die Nachfrage im Hindblick auf die Umsetzungsfrist der nationalen Gesetzgebung stetig steigt. Im Volksmund sagt man hierzu: "Den Letztén beißen die Hunde".
Jedes Unternehmen, dass irgendwie mit NIS2 zu tun bekommen wird und bisher noch nicht die EinfĂĽhrung eines ISMS angestoĂźen hat, hat jeden Grund Panik zu schieben. Schon morgen kann der Anforderungskatalog eines GroĂźkunden auf dem Tisch liegen, der ĂĽber 30% des Umsatzes ausmacht und Umsetzungsfristen von einem bis drei Monate sind durchaus keine Seltenheit.
Das Posting wurde vom Benutzer editiert (20.06.2024 17:02).