Kommentar: Lasst euch nicht von NIS2 verrückt machen!
Bei der Security-Richtlinie NIS2 ist jetzt Panik angesagt – glaubt man Sicherheitsanbietern. Doch Dennis-Kenji Kipker verordnet Unternehmen erst einmal Ruhe.
(Bild: iX)
- Prof. Dennis-Kenji Kipker
Wenn es ein aktuelles Thema in der Cybersicherheit gibt, über das in den vergangenen Monaten überall berichtet wurde, das aber trotzdem für die Allermeisten noch im Dunkeln liegt, dann ist es wohl NIS2. Zumindest in Deutschland lässt die nationale Umsetzung nach wie vor auf sich warten – andere Länder wie Kroatien sind da schon deutlich weiter. Doch der jüngste europäische Rechtsakt zur Cybersicherheit wirft seine Schatten weit voraus: Er verpflichtet künftig eben nicht nur die kritischen Infrastrukturen, sondern erklärt die Abwehr von Cyberbedrohungen bis in den Mittelstand hinein zur Geschäftsleitungsaufgabe. Die Aufregung hat ihren Grund, denn die Bußgelder bei Nichteinhaltung der neuen EU-Cybersecurity-Vorgaben können enorm sein – und gar nicht erst zu sprechen von der persönlichen Haftung der Geschäftsleiter! Und all das, obwohl der Geltungsbeginn hierzulande noch in den Sternen steht.
Was bei all der Berichterstattung zu NIS2 aber viel zu selten erwähnt wird, ist die Tatsache, dass NIS2 eben nicht alles neu macht, sondern nur die Nachfolgeregelung von NIS1 ist. Und damit ist eines ganz klar: Wir brauchen uns jetzt nicht alle verrückt zu machen, dass an diesem bislang noch unbekannten Stichtag – vermutlich irgendwann zu Beginn des Jahres 2025, wenn NIS2 dann endlich national umgesetzt ist – frühmorgens aus Bonn unzählige BSI-Gutachter ausschwärmen, um an die Türen mittelständischer Betriebe anzuklopfen und diese auf NIS2-Konformität zu überprüfen. Viel realistischer ist nämlich folgendes Szenario: Es passiert erst einmal gar nichts. Und das nicht ohne Grund, denn auch das BSI wird nichts sanktionieren, was es nicht selbst kennt. Für ganz viele Branchen, die nun neu erstmalig durch NIS2 erfasst werden, gibt es nämlich weder Standards noch sonstige Best Practices für ein Cybersicherheitsmanagement. Somit geht es, wie auch schon im Jahr 2016 bei NIS1, darum, erst einmal solche Standards aufzubauen – und das braucht eben seine Zeit.
Diese Feststellung soll natürlich nicht dazu verleiten, gar nichts zu tun. Aber wenn wir einmal ganz ehrlich sein wollen: Weder das BSI noch das fachlich zuständige Innenministerium haben die Kapazitäten und das Know-how, deutschlandweit viele neue Cybersicherheitsstandards für alle nur denkbaren Branchen und Unternehmungen unterschiedlichster Größenordnungen zu entwickeln und zu prüfen. Deshalb geht es am Anfang – und da sprechen wir wieder von der Haftung der Geschäftsleiter – in erster Linie darum, nachweisen zu können, dass man nicht grob fahrlässig unterlassen hat, überhaupt ein betriebliches Risikomanagement in der Cybersicherheit zu initiieren. Und gerade auch weil die Best Practices zur Cybersicherheit nicht einfach so vom Himmel fallen, sei hier zumindest noch eine Empfehlung gegeben: Betriebe, die mehr Rechtssicherheit in der Umsetzung von NIS2 wollen, können proaktiv über ihre Branchenverbände durch die Bildung von Arbeitsgruppen dazu beitragen, eigene branchenspezifische Standards zu entwickeln.
Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E In der nächsten Ausgabe geht's ums Titelthema der Juli-iX: Software entwickeln mit KI.
Bei diesem Kommentar handelt es sich um das Editorial der iX 7/2024. Das neue Heft erscheint am 27. Juni im heise Shop und am 28. Juni am Kiosk. Wichtigste Themen sind KI-Coding-Assistenten, das neue Linux-Dateisystem Bcachefs und wie Ransomware AV-Software austrickst.
(fo)