Neue Cybersecurity-RichtlinieNIS2: Für wen gilt die Richtlinie?

Eine neue Richtlinie erweitert die Mindeststandards für Cybersicherheit. Volker Fett erklärt, inwiefern das Handwerk betroffen ist.

Was steht in der neuen Richtlinie, was wird damit bezweckt und ab wann gilt sie?

Volker Fett: Die Netzwerk- und Informationssicherheit-(NIS)2-Richtlinie ist der europäische Rahmen für Betreiber kritischer Infrastrukturen und legt Cybersecurity-Mindeststandards in der EU fest. Außerdem bindet sie durch die Einbeziehung weiterer Sektoren die Anzahl der Unternehmen und erweitert die Pflichten bei der Umsetzung dieser Standards. Sie ist seit Januar 2023 gültig und verpflichtet die EU-Mitgliedsstaaten, diesen Rahmen bis zum 18. Oktober 2024 in staatliche Gesetze zu überführen.

Inwiefern sind Handwerksbetriebe von dem dann kommenden nationalen Gesetz betroffen?

Fett: Es ist davon auszugehen, dass es nur bei wenigen Handwerksbetrieben direkt greifen wird. Es sollen Unternehmen reguliert werden, die mindestens 50 Mitarbeiter beschäftigen, mindestens 10 Mio. Euro Umsatz erzeugen und für das Funktionieren des Gemeinwesens von hoher Bedeutung sind. Die NIS-2-Richtlinie benennt dazu verschiedene Sektoren, einer davon ist z.B. die Herstellung. Wenn Handwerksbetriebe auf diesem verpflichtenden Weg nicht der Gesetzgebung unterliegen, sollten sie das Thema trotzdem nicht at acta legen. So kann es auch gut sein, dass die Lieferkettenbetrachtung Teile davon auferlegt und dass sich so auch Handwerksunternehmen auf der Grundlage von Verträgen mit ihren Kunden zur zumindest teilweisen Umsetzung von Vorgaben der NIS2 verpflichten müssen.

Wie können Betriebe feststellen, ob sie dem Gesetz unterliegen werden?

Fett: Auf der Internetseite des Bundesamts für Sicherheit in der Informationstechnik (BSI), der zuständigen Meldestelle, kann man eine Betroffenheitsprüfung vornehmen.

Was können oder sollten Betriebe im Bereich IT-Sicherheit tun, auch wenn sie nicht betroffen sind?

Fett: Da gibt es aus unserer Erfahrung leider meistens noch vieles zu tun. Als erstes empfehlen wir, sich bewusst zu machen, wie lange man auf seine wichtigsten Geschäftsprozesse verzichten kann bzw. welche Folgen das auch auf andere Bereiche des Unternehmens hätte. Wie lange könnte man z.B. auf alle Daten aktueller Angebote und Aufträge verzichten? Wenn man sich das einmal bewusst macht, dann ist schon ein guter erster Schritt getan. Ein weiterer Schritt wäre, sich mit möglichen Bedrohungen auseinanderzusetzen, z.B. Phishing und Ransomware. Prüfen Sie, wie man sich vor Wasser und Feuer schützen kann. Sensibilisieren sie Ihr Team. Betrachten Sie Schwachstellen in Ihrer Lieferkette.

Von Anja Gildemeister

Volker Fett

Projektleiter Transferstelle
Cybersicherheit im Mittelstand

Ansprechperson: