NIS2 im Quick-Check : Mirko Ross: „Es drohen empfindliche Strafen“

ASVIN

Mirko Ross, ASVIN-Gründer und CEO

- © ASVIN

Können Sie ungefähr einschätzen, wie viele Unternehmen im Industriesektor von NIS2 nun erfasst werden, die bisher keinen Auflagen unterworfen waren?

Mirko Ross: Allein im verarbeitenden Gewerbe in Deutschland sind über 11.000 Unternehmen neu von den NIS2 Regulierungen betroffen. Dazu kommen noch viele Unternehmen aus bislang nicht KRITIS- relevanten Sektoren. Insgesamt rechnen Insider mit bis zu 40.000 betroffenen Unternehmen in Deutschland. Österreichweit sind etwa 150 Unternehmen betroffen.

Wie groß ist das Interesse der Unternehmen derzeit, für NIS2 aufzurüsten?

Ross: Unternehmen mit Weitblick nehmen die EU-Regulatorik wahr und ernst. Erste Unternehmen haben sich auch schon ein Bild über die neuen Aufgaben, Berichtspflichten und technischen Herausforderungen gemacht. Generell wird die Umsetzung von regulatorischen Vorgaben oftmals leider immer noch unterschätzt, als Kostenfaktor angesehen und nicht als notwendige Maßnahme, die letztendlich die Resilienz des Unternehmens gegen Cyberangriffe deutlich erhöht. Der Gesetzgeber ist hier allerdings klar: wer den Vorgaben nicht folgt und diese nicht fristgerecht umsetzt, dem drohen empfindliche Strafen.

Kostenloser NIS2-Quickcheck von ASVIN

Die NIS2-Richtlinie legt Cybersecurity Mindeststandards in Europa fest. Diese fordert von deutlich mehr Unternehmen als bisher die Einführung von Cybersicherheitsmaßnahmen und Berichtspflichten. Bei Verstößen drohen die Aufsichtsbehörden mit empfindlichen Strafen in Millionenhöhe. Erfahren Sie mit dem Quickcheck innerhalb von 2 Minuten, ob Sie von der aktuellen NIS 2 Direktive betroffen sind.

Mit Ihrem NIS2-Check bieten Sie ein praktisches Tool an. Ist das eine Antwort auf die Unsicherheit bei den Unternehmen, die nicht wirklich wissen, ob sie von der Richtlinie erfasst werden?

Ross: Ja ganz klar, eine der großen Auswirkungen der NIS2-Direktive auf die Unternehmen ist ja, dass sie den Geltungsbereich der als kritisch einzustufenden Sektoren erheblich erweitert. Dadurch sind Unternehmen wie z. B. aus dem Bereich Maschinenbau betroffen, die daran noch gar nicht gedacht haben.

Die Androhung von Strafen und Sanktionen ist leider ein notwendiges Übel.

Cyberangriffe sind nach wie vor ein Tabuthema. Erwarten Sie, dass durch NIS2 und die verschärften Berichtspflichten mit dem Thema offener umgegangen wird?

Ross: Beim Thema Cyberangriffe hüllen sich viele betroffene Unternehmen immer noch zu oft in Schweigen. Dabei wäre das Teilen von Erfahrungen mit Cyberangriffen sehr wünschenswert, weil das auch anderen Unternehmen die Möglichkeit gibt, ihre präventiven Maßnahmen effektiver zu gestalten. Das Teilen von Informationen scheitert aber heute an vielen organisatorischen Hürden und falschen Denkansätzen.

Branchenvertreter kritisieren die relativ hohen Strafzahlungen, die vorgesehen sind. Sind diese aus Ihrer Sicht gerechtfertigt?

Ross: Die Androhung von Strafen und Sanktionen ist leider ein notwendiges Übel. Diese Rechtsmittel wurden von den Gesetzes-Initiatoren der EU vorgeschlagen, weil viele Verantwortliche aus Unternehmen der Mitgliedstaaten in der Vergangenheit das Thema Cybersicherheit in die zweite oder dritte Reihe geschoben hatten. Im Vergleich zu den enorm hohen bekannten Schadenssummen jedoch sind die beabsichtigten Strafzahlungen eher gering.