Cybersecurity für KMUs

Weltweit kam es in den vergangenen Wochen zu IT-Ausfällen in zahlreichen Branchen, darunter auch bei Betreibern kritischer Infrastrukturen in Deutschland. Grund für das tagelange Chaos war nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ein fehlerhaftes Update einer IT-Security-Lösung.

Zum wiederholten Male verdeutlichte dieser Vorfall, dass bereits kleine technische Probleme zu großen Auswirkungen in der Breite der Wirtschaft sorgen können. Angesichts dieser Ereignisse und der angespannten geopolitischen Lage werden sich Unternehmen verschiedenster Branchen der Bedeutung von Cybersicherheit immer stärker bewusst.

Eine wichtige Rolle spielt in diesem Zusammenhang aktuell die 2023 in Kraft getretene zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie). Den Gesetzentwurf zur Umsetzung in deutsches Recht hat das Bundeskabinett am 24. Juli verabschiedet. Für die Wirtschaft spielt dabei insbesondere das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz des Bundes eine Rolle – die DIHK hat hierzu bereits im Mai 2024 in einem Positionspapier (PDF, 191 KB) Stellung bezogen.

Mit den neuen Regelungen wird die Zahl der Unternehmen, die künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem BSI zu erfüllen haben, deutlich zunehmen. Dabei erfolgt eine Kategorisierung in "wichtige" und "besonders wichtige" Einrichtungen, die in den Fokus der Richtlinie rücken.

Deutschlandweit sollen nach den im Gesetzentwurf festgelegten Kriterien rund 29.500 Unternehmen unter die NIS-2-Richtlinie fallen.Die Umsetzung der EU-Richtlinie in nationales Recht verpflichtet Unternehmen beispielsweise zur Einrichtung eines Risikomanagements oder zu Nachweispflichten zur internen IT-Sicherheit. Zudem müssen sie künftig "erhebliche Sicherheitsvorfälle" innerhalb von 24 Stunden einer Meldestelle des BSI und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe bekanntgeben. Neu ist auch, dass künftig die Geschäftsleitung für Vorfälle haftet und zu Schulungen verpflichtet wird. Die Aufsicht für die Umsetzung wird beim BSI liegen, das bei Nichtbeachtung der Vorschriften hohe Strafen verhängen kann.

Sind Sie unsicher, ob Ihr Unternehmen von der NIS-2 Richtlinie betroffen ist?
Die NIS-2 Betroffenheitsprüfung des BSI bietet Ihnen in wenigen Schritten dafür eine erste Orientierung.

Kriterien sind:

Die Task Force "IT-Sicherheit in der Wirtschaft" des Bundesministeriums für Wirtschaft und Technologie (BMWi) bietet Unternehmen Informationen zum Thema IT-Sicherheit an.

Kleine und mittelständische Unternehmen finden in dem extra erstellten Internetportal Orientierung und Hilfe. Das Portal bietet kostenlos Informationen zu den Risiken verschiedener IT-Anwendungen und entsprechende Handlungsempfehlungen und -anleitungen. Das Angebot umfasst regionale Veranstaltungen, Broschüren und Online-Informationen.

Kernstück der Internetseite ist der vom Fraunhofer Institut für sichere Informationstechnik entwickelte IT-Sicherheitsnavigator. Er bündelt herstellerneutrale Informations- und Hilfsangebote und macht diese komfortabel über das Internet zugänglich. Über Schlagworte und regionale Eingrenzungen können Unternehmen schnell und unkompliziert die für ihr spezielles Sicherheitsproblem passenden Angebote finden.