Anzeige
Suche

Neues Gesetz: deutscher Mittelstand zwei Monate vor NIS-2-Start unvorbereitet

Kurz vor Inkrafttreten der NIS-2-Richtlinie zur Cybersicherheit am 17.10.2024 ist das Thema bei vielen Unternehmen nicht in der Chefetage angekommen, so der Gewerbeversicherungsspezialist Finanzchef24. Was es jetzt zu beachten gilt.
Finanzchef24
Anzeige

Aktuellen Zahlen der Bundesregierung zufolge sind in Deutschland rund 29.500 Unternehmen von der neuen EU-Richtlinie betroffen, die nun ins deutsche Recht übernommen wird. Finanzchef24 geht von bis zu 40.000 betroffenen Unternehmen aus. Das Bundeskabinett hat dafür den NIS-2-Entwurf mit umfangreichen Änderungen am 24. Juli 2024 beschlossen.

Diese Richtlinie soll die Wirtschaft resilienter gegen Cyberangriffe machen. „Mit unserem Gesetz erhöhen wir den Schutz vor Cyberangriffen, egal ob sie staatlich gelenkt oder kriminell motiviert sind. Künftig müssen mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen. Wir steigern das Sicherheitsniveau – und senken damit das Risiko für Unternehmen, Opfer von Cyberangriffen zu werden“, erklärt Bundesinnenministerin Nancy Faeser zur Verabschiedung.

Das Gesetz gilt zunächst für Unternehmen, die mehr als 50 Mitarbeiter beschäftigen und mehr als 10 Millionen Euro Umsatz erwirtschaften – und die in kritischen Wirtschaftsbereichen tätig sind. „Das Problem: Vielen Unternehmen ist gar nicht bewusst, dass sie in einem kritischen oder besonders wichtigen Sektor unterwegs sind“, sagt Payam Rezvanian, Mitglied der Geschäftsleitung bei Finanzchef24 mit Blick auf Mittelständler aus den Bereichen Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur, Banken und Finanzmärkte. „Vom Prinzip ist der Feinkosthändler mit Catering ab einer gewissen Größe ebenso betroffen wie ein Baugeldvermittler, der zu Krediten verhilft“, erklärt Rezvanian. Nach Unternehmensrecherchen könnten in Deutschland bis zu 40.000 Firmen betroffen sein – gut 30 Prozent mehr als von der Regierung angegeben.

Weckruf für Unternehmen: dringende Maßnahmen zur IT-Sicherheit und Resilienz erforderlich

Die kürzlich durch einen Update-Fehler verursachten weltweiten IT-Ausfälle sollten für alle ein Weckruf sein, sich widerstandsfähiger gegen IT-Notfälle aufzustellen.  Auch Europol warnt davor, dass immer mehr kleine Firmen und Privatpersonen attackiert werden. Gerade jene Unternehmen, die unter den Mindestvorgaben liegen, sollten die verbleibende Zeit bis zum Inkrafttreten im Oktober nutzen. Auch für sie lohnt es sich bereits heute, die strengeren Sicherheitsmaßnahmen umzusetzen. Rezvanian: „Malware-Bots machen doch nicht vor der Unternehmensgröße halt.“ Zum Beispiel sind Ransomware-Angriffe weit verbreitet. Dabei suchen die Angreifer nach einer Schwachstelle im System, verschlüsseln die Daten und erpressen anschließend das Unternehmen. Diese Methode ist besonders beliebt und einfach durchzuführen, da „Cybercrime as a Service“ mittlerweile als Geschäftsmodell existiert.

Deshalb sind die strengeren Sicherheits-Vorgaben sehr wichtig. Dazu zählen Aspekte wie regelmäßige Risikoanalysen, Stresstests, Notfallpläne, tägliche Datensicherungen, Sicherheitstrainings für Mitarbeiter, 2-Faktor-Authentifizierung oder eine angemessene Rechteverwaltung. Die NIS-2-Richtlinie zielt darauf ab, die Cybersicherheit und -resilienz von Unternehmen zu stärken. Daher sollten Unternehmen die Richtlinie als Anlass nehmen, die IT zu durchleuchten. Die Aufgabe liegt laut Finanzchef24 bei den Geschäftsführern. „Geschäftsführer und IT-Leiter können persönlich haftbar gemacht werden, wenn sie ihre Sicherheitsverpflichtungen nicht erfüllen“, warnt er.

Finanzchef24 rät zusätzlich, eine Cyberversicherung zu prüfen. Ab Oktober 2024 wird der Abschluss einer Cyberversicherung für Unternehmen nach seiner Einschätzung wegen der neuen Richtlinie noch schwieriger. Wer in den nächsten Wochen handelt, könne doppelt profitieren. „Wer jetzt einen Angebotsprozess für IT-Cyberversicherungen durchläuft, kann im Zuge dessen die Mindestanforderungen ins eigene Unternehmen übertragen. Einige Versicherer bieten sogenannte Antragsmodelle an: Dort können Unternehmer Angaben zur eigenen IT-Sicherheit machen und prüfen, ob sie eine Versicherung erhalten würden. So wird einerseits verhindert, dass Anträge abgelehnt werden und andererseits erhält das Unternehmen Hinweise auf wesentliche IT-Schwachstellen“, sagt Rezvanian.

Das ebnet den Weg für einen neuen Antrag mit verbesserter IT-Sicherheit. Versicherer setzen wegen der steigenden Schadensausgaben heute bei Neuverträgen und auch für die Verlängerung der bestehenden Cyberversicherungen Firewalls ebenso voraus wie einen aktuellen Stand der IT-Technik. Darüber hinaus passen Versicherer fortlaufend ihre Konditionen an. Neben oft steigenden Prämien und fallenden Deckungssummen im Neugeschäft erhöhen sie sukzessive die generellen Anforderungen an die IT-Sicherheit.

Weitere Artikel zum Thema

rawpixel, pixabay
Im Beherbergungsgewerbe soll es ab dem kommenden Jahr weniger Bürokratie geben. Der digitale Meldeschein ist in dieser Hinsicht der neueste Vorstoß, um die Digitalisierung als Mittel zur Vereinfachung zu nutzen. Aber wie genau soll diese[...]
Stephanie Grezian
Das Bundesarbeitsgericht (BAG) hat am 08.09.2021 (Az.: 5 AZR 149/21) einen wegweisenden Beschluss erlassen. Eine Arbeitsunfähigkeitsbescheinigung (AU) ist nunmehr kein Garant mehr für einen Anspruch auf Entgeltfortzahlung im Krankheitsfall. Hat der Arbeitgeber Anlass zu ernsthaften[...]
EuGH hat mit einer Entscheidung eine für die Branche möglicherweise relevante Entscheidung in Bezug auf die Umsatzsteuer getroffen.mohamed_hassan | Pixabay
Es ist einer der aktuellen Streitpunkte bei Steuerprüfungen in Hotels: Welcher Umsatzsteuersatz gilt für Nebenleistungen, wie Frühstück, Sauna oder Parkplatz. 19 Prozent, sagen die Steuerprüfer, die Nebenleistung habe der Hauptleistung zu folgen, sagen Unternehmer, Verbände[...]
obpia30 | Pixabay
In der Nacht vom 26. auf den 27. Oktober 2019 wurden die Uhren in allen EU-Ländern um eine Stunde zurückgestellt. Diese Zeitumstellung auf die Winterzeit brachte eine zusätzliche Stunde. Unternehmer in der Hotellerie mussten diesen[...]
Tingey Injury Law Firm
Ein österreichisches Gericht hat zuletzt eine bedeutende Entscheidung getroffen: Die massenhaften Abmahnungen wegen der Verwendung von Google Fonts wurden als missbräuchlich eingestuft. Das Urteil betrifft über 30.000 Unternehmen, die wegen angeblicher Datenschutzverletzungen abgemahnt wurden. [...]
Unser Newsletter

Bleiben Sie auf dem Laufenden mit regelmäßigen Informationen zum Thema Gastgewerbe. Ihre Einwilligung in den Empfang können Sie jederzeit widerrufen.