Linkedin Xing Youtube
Cybervorfall? IFIT-Sicherheitstelefon
Linkedin Xing Youtube
Cybervorfall? IFIT-Sicherheitstelefon

NIS2 wird zum Compliance-Risiko für den Mittelstand

NIS2 geht einen großen Schritt weg von der IT-Sicherheit zur Cyberresilienz auf allen Ebenen. Zu den vier zentralen Themen gehört die Bewältigung von Sicherheitsvorfällen, die Aufrechterhaltung des Betriebs, die Wiederherstellung nach einem Notfall und die Sicherheit der Lieferkette. Die Umsetzung stellt Unternehmen im Mittelstand aber allein durch die Komplexität der NIS2-Anforderungen vor große Herausforderungen – und damit verbunden auch Compliance-Risiken.

Bremen, 24. Juli 2024.

Die NIS2-Richtlinie soll vor 47 elementaren Gefahren schützen

NIS2 bedeutet für die Unternehmen zusätzliche Arbeit, soll aber vor allem vor den häufigsten Gefahren im Cyberraum schützen. Das BSI hat eine Zusammenstellung der 47 elementaren Gefährdungen erstellt, vor denen das NIS2UmsuCG schützen soll.

Dazu gehören unter anderem folgende Cyberrisken:

  • Störungen oder vollständige Ausfälle von Dienstleistern
  • Manipulation von Informationen
  • Ausspähen von Informationen
  • Ausfall von Kommunikations- oder Versorgungsnetzen
  • Nötigung, Erpressung und Korruption

Im Jahr 2023 gab es allein in Deutschland nach Angaben des Branchenverbandes Bitkom Schäden durch Cyberangriffe in Höhe von 200 Milliarden Euro.

Durch Nicht-Einhaltung der Richtlinie entstehen Compliance-Risiken

Die Einhaltung der NIS2-Richtlinie ist von entscheidender Bedeutung, um gesetzliche Strafen zu vermeiden. Diese können sich auf bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes aus dem vorausgegangenen Geschäftsjahr belaufen. Es gilt der jeweils höhere Betrag. Dabei lauern die eigentlichen Compliance-Risiken noch an ganz anderer Stelle.

Proaktive Überprüfungen durch das BSI sind unwahrscheinlich

Betreiber kritischer Anlagen müssen dem BSI alle drei Jahre einen Nachweis erbringen, dass sie die Anforderungen der NIS2-Richtlinie einhalten. Darüber hinaus ist das BSI dazu berechtigt, auch eigenständige Überprüfungen vorzunehmen. Besonders wichtige Einrichtungen müssen diese Nachweise nicht proaktiv erbringen. Daher wiegen sich gerade Unternehmen, die nicht in diese regelmäßige Nachweispflicht fallen, in Sicherheit. Denn realistisch betrachtet, wird das BSI bei proaktiven Kontrollen risikoorientiert vorgehen und kaum die Ressourcen für eine regelmäßige Überprüfunge aufbringen.

Die Compliance-Risiken liegen für Unternehmen an anderer Stelle.

Haftung einer Cyberversicherung bei Nichteinhaltung der gesetzlichen Vorschriften

Viele Unternehmen haben Cyberversicherungen abgeschlossen. Eine solche Versicherung soll unter anderem gegen die Folgen eines Cyberangriffes und vor IT-Ausfällen schützen. Die meisten Policen decken sowohl eigene Schäden als auch Schäden Dritter ab. Einige Cyberversicherungen haften sogar bei Lösegeldforderungen.

Allerdings sollten sich Unternehmen nicht auf einer solchen Versicherung ausruhen. Denn häufig greift sie nicht, wenn das versicherte Unternehmen bewusst gegen geltende Vorschriften und Gesetze verstoßen hat – wie es bei der Nichteinhaltung von gesetzlich verankerten NIS2-Anforderungen der Fall ist. Zu den wesentlichen Compliance-Risiken gehört damit ein Erlöschen des Versicherungsschutzes.

Meldung von Sicherheitsvorfällen an das BSI

Ein weiteres Compliance-Risiko ergibt sich daraus, dass NIS2 betroffene Unternehmen dazu verpflichtet sind, einen Sicherheitsvorfall an das BSI zu melden. In diesem Fall erlangt das BSI also so oder so Kenntnis davon und der Vorfall wird öffentlich. Neben den rechtlichen Konsequenzen können Unternehmen auch mit erheblichen Reputationsverlusten rechnen.

Persönliche Haftung der Geschäftsführer

Cybersicherheit wird mit NIS2 zur Chefsache. Laut den aktuellen Entwürfen des NIS2UmsuCG haften Geschäftsführer persönlich dafür, wenn sie NIS2 bewusst missachten, die Umsetzung der Anforderungen nicht anregen und deren Einhaltung nicht überwachen. Der Wortlaut des Absatzes: „Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtungen.“ Kommen die Geschäftsführer ihrer Pflicht zur Umsetzung und Überwachung der erforderlichen Maßnahmen nicht nach, werden sie persönlich dafür zur Verantwortung gezogen.

BREKOM ist Ihr Partner, um Compliance-Risiken zu vermeiden

Um Compliance-Risiken zu umgehen, sich vor hohen Geldstrafen aber auch anderen Konsequenzen wie einem Verlust des Versicherungsschutzes einer Cyberversicherung oder Imageverluste zu vermeiden, hilft BREKOM bei der Umsetzung der NIS2. Wir bieten schlanke, budgetschonende und praxisnahe Lösungen an und begleiten Sie von der Feststellung der NIS2-Betroffenheit bis zum sicheren NIS2-Betrieb.

 

Jetzt Termin für NIS2-Assessment buchen

Damit IT einfach sicher ist.

  • Damit IT einfach sicher ist.
Newsletter abonnieren
Linkedin Xing Youtube
  • © 2024 BREKOM GmbH

Webdesign Agentur
und SEO Agentur by
 Werbeagentur Gipfelstürmer Marketing-Agentur.

Aktion: Schnelligkeit zahlt sich aus! Die ersten 50 Terminbucher profitieren: Nutzen Sie den Aktionscode „NIS2-jetzt“, um Ihr NIS2-Assessment
im Wert von 249,00 EUR kostenlos zu erhalten.


Wie geht es nach der Buchung weiter?
Um das NIS2-Assessment für alle Beteiligten effizient vorbereiten zu können, melden wir uns vorm Termin und stimmen Details mit Ihnen ab.

Jetzt anmelden
und auf dem Laufenden bleiben!

Für den Versand unserer Newsletter nutzen wir rapidmail. Mit Ihrer Anmeldung stimmen Sie zu, dass die eingegebenen Daten an rapidmail übermittelt werden. Beachten Sie bitte auch die AGB und Datenschutzbestimmungen.