Die neue NIS2-Richtlinie soll ab 17. Oktober in Deutschland als Gesetz in Kraft treten. Sie verschärft die Mindestanforderungen an die IT-Sicherheit vieler Unternehmen. Damit sollen die Unternehmen resilienter gegen Hackerangriffe werden - und damit auch Deutschland. NIS2 betrifft rund 30.000 Unternehmen in gesellschaftlich wichtigen Geschäftsfeldern wie Energieversorgung, Gesundheitswesen, Verkehr und digitale Infrastruktur.
Dass Unternehmen bei NIS2 derzeit besonders an Firewall und IT-Pflichtenhefte denken, liegt laut SCRIVO Communications an den Begrifflichkeiten und der Verortung. “Das aktuelle BSI-Gesetz ist gut 50 Seiten lang. Das Wort Kommunikation kommt 62 Mal vor. Aber: Wenn es darin um Kommunikation geht, dann fast ausschließlich um technische und strukturelle Kommunikation im Sinne von Daten- oder Informationsübermittlung im IT-Sinne. Kommunikation im Verständnis von Krisenkommunikation mit Mitarbeitern, Kunden und anderen Stakeholdern und das Reputationsmanagement spielen nahezu keine Rolle”, erklärt Kai Oppel, Gründer und Inhaber der Agentur SCRIVO Communications. Er warnt Unternehmen davor, das Gesetz zu einseitig zu interpretieren.
Gut einen Monat vor Inkrafttreten des Gesetzes herrscht insbesondere bei kleineren Unternehmen Verunsicherung und Unwissenheit. “Viele wissen nicht, ob sie unter die Richtlinie fallen. Zudem ist aktuell ungewiss, wie das Gesetz konkret ausgestaltet sein wird. Ein zweiter Fehler ist, dass Unternehmen das Thema Cyberrisiko als IT-Thema betrachten. Dabei ist es ebenso ein Kommunikationsthema. Der dritte Denkfehler ist, die Gesetzespflicht über die unternehmerische Vernunft zu stellen. Nicht vom Gesetz betroffen zu sein bedeutet nicht, sicher vor IT-Angriffen und Auswirkungen zu sein”, sagt Oppel.
Gesetz als Weckruf: Kontrolle in der Kommunikation machbar
Das neue NIS2-Gesetz ist ein Weckruf für alle Unternehmen, weil Cybergefahren branchenübergreifend zugenommen haben. “Wer sein Geschäft bei einem IT-Angriff schützen will, muss schnell und richtig kommunizieren. Kommunikationskontrolle und Sicherheit sind machbar”, erklärt er. Vorbereitung und Zeitgewinn sind entscheidend, wenn es trotz IT-Vorkehrungen zu einer Cyberattacke oder IT-Störungen kommt. Effektive Kommunikation kann laut Kai Oppel von SCRIVO als Schutzschild fungieren, wenn Unternehmen aus NIS2 die richtigen Konsequenzen ziehen. Sie ermöglicht es, die Kontrolle über die Narrative zu behalten, Vertrauen zu wahren und potenzielle Reputationsschäden zu minimieren.
Mit Sprachregelungen und Medienbeobachtung Schaden abwenden
Neben technischen Bestimmungen wie einer Multi-Faktor-Authentifizierung (MFA), Sicherheitsüberprüfungen und Datensicherungen sollten Unternehmen ihre kommunikative Resilienz stärken. Szenarioanalysen helfen, mögliche Krisensituationen vorauszusehen. Kommunikationspläne definieren klare Abläufe und Verantwortlichkeiten. Medienbeobachtung ermöglicht schnelle Reaktionen, und vorbereitete Sprachregelungen gewährleisten eine konsistente Außenkommunikation.
Gesetzliche Sanktionen sind hart, die Marktstrafen sind härter
Ein Beispiel sei die strenge Meldepflicht, die ein zentrales Element der Richtlinie und des Gesetzes ist. “Das neue dreistufige Meldesystem für Cybersicherheitsvorfälle bezieht sich auf die gesetzlichen Vorgaben, einen Vorfall binnen 24 Stunden an das BSI zu melden und Updates zu geben. Dass sich daraus aber Kommunikationspflichten gegenüber Kunden, Lieferanten oder anderen Stakeholdern ergeben, wird gern übersehen. Dabei ist die Strafe des Marktes möglicherweise viel härter als die gesetzlichen Sanktionen und Strafen von bis zu 10 Mio. Euro”, sagt Kai Oppel. „Vertrauensverlust bei Kunden, Einbruch des Aktienkurses oder langfristige Imageschäden verstärken die finanziellen Auswirkungen eines Cybervorfalls erheblich.“
Laut SCRIVO Communications muss das Thema NIS2 aus dem IT-Silo heraus. "NIS2 erfordert einen ganzheitlichen Unternehmensansatz", betont Oppel. "Es geht nicht nur um IT-Sicherheit, sondern um die Schaffung einer umfassenden Cyber-Resilienz-Kultur, die technische, kommunikative und organisatorische Aspekte gleichermaßen berücksichtigt." Unternehmen, die Cyber- und IT-Themen ausschließlich an die IT-Abteilung delegieren, vergeben die Chance, das ganze Unternehmen zu sensibilisieren und weitreichende Auswirkungen von Cyberrisiken auf alle Geschäftsbereiche zu erkennen.
Themen:
LESEN SIE AUCH
Cybersicherheit: Kabinett bringt NIS2-Umsetzung auf den Weg
Das Bundeskabinett hat die notwendige deutsche Umsetzung – das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – beschlossen. Die vorgesehene Umsetzungsfrist im Oktober wird nicht mehr einzuhalten sein. Umso wichtiger ist es, das Gesetz zügig umzusetzen und ein Inkrafttreten bis Anfang 2025 sicherzustellen.
IT-Hausaufgaben fürs Homeoffice: Wer remote arbeitet, riskiert andere Cybergefahren
Die Zeitspanne zwischen dem Aufdecken von Sicherheitslücken und deren Ausnutzung durch Kriminelle wird immer kürzer. Die hohe Homeoffice-Quote fordert die IT-Sicherheit bei Unternehmen zusätzlich heraus. Mehr Arbeit im Homeoffice erfordert starke Passwörter, VPNs und regelmäßige Updates zum Schutz vor Cyberangriffen.
CyberArk-Studie zeigt hohe Zahl identitätsbezogener Angriffe
Der „CyberArk 2024 Identity Security Threat Landscape Report“ zeigt, dass die steigende Zahl menschlicher und nicht-menschlicher Identitäten die Gefahr von Cyberangriffen erhöht.
Neu im Markt - der SI Cyberschutz
Der SI Cyberschutz ist für kleine und mittlere Unternehmen (KMU) aus Handwerk und Handel gedacht. Das Konzept deckt Cyberrisiken bis zu einer Versicherungssumme von drei Mio. Euro ab. Inklusive sind auch Dienstleistungs- und Schulungsangebote zur Prävention.
Cyberstudie 2024 zeigt Cyber-Vergessen der KMU
Immer mehr KMU-Betriebe machen Erfahrungen mit Cyberangriffen. Nach rund 40 Prozent in den vergangenen Jahren sind es laut einer HDI-Umfrage aktuell 53 Prozent. Wobei sich Cyberkriminelle auf Firmen mit 50 bis 250 Mitarbeitende konzentrieren.
Mittelstand investiert verstärkt in Cybersicherheit
Durch die zunehmende Digitalisierung wächst die Bedrohung durch Cyberangriffe. Kleine und mittlere Unternehmen reagieren darauf: Jedes vierte KMU sichert sich mittlerweile mit einer Cyberpolice ab – in 2023 war es nur jedes fünfte.