Am 17. Oktober 2024 tritt die NIS-2-Richtlinie zur Cybersicherheit in Kraft. Diese legt Unternehmen gewisse Pflichten auf und soll die Wirtschaft resilienter gegen Cyberangriffe machen. Noch sind viele Firmen unvorbereitet.
Zu diesem Schluss kommt der Gewerbeversicherungsspezialist Finanzchef24. Aktuellen Zahlen der Bundesregierung zufolge sind demnach in Deutschland rund 29.500 Unternehmen von der neuen EU-Richtlinie betroffen, Finanzchef24 geht hingegen von bis zu 40.000 Betrieben aus. So gilt die am 24. Juli 2024 vom Bundeskabinett beschlossene NIS-2-Richtlinie zunächst für Firmen, die mehr als 50 Mitarbeitende beschäftigen und mehr als 10 Millionen Euro Umsatz erwirtschaften – und die in kritischen Wirtschaftsbereichen tätig sind. Insgesamt soll die gesetzliche Vorgabe die Wirtschaft resilienter gegen Cyberangriffe machen. Hierzu werde die Unternehmen verpflichtet, gewisse Mindestvorgaben für die Cybersicherheit sowie Meldepflichten bei Cybervorfällen zu erfüllen. Das Problem: Vielen Firmen sei gar nicht bewusst, dass sie in einem kritischen oder besonders wichtigen Sektor unterwegs sind, sagt Payam Rezvanian, Mitglied der Geschäftsleitung bei Finanzchef24 insbesondere mit Blick auf Mittelständler z.B. aus den Bereichen Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur, Banken und Finanzmärkte.
Maßnahmen dringend erforderlich
Die kürzlich durch einen Update-Fehler verursachten weltweiten IT-Ausfälle sollten für alle ein Weckruf sein, sich widerstandsfähiger gegen IT-Notfälle aufzustellen, argumentiert man. Auch Europol warne davor, dass immer mehr kleine Firmen und Privatpersonen attackiert werden. Gerade jene Unternehmen, die unter den Mindestvorgaben liegen, sollten die verbleibende Zeit bis zum Inkrafttreten im Oktober daher nutzen, folgert Rezvanian. Wichtige Aspekte seien etwa regelmäßige Risikoanalysen, Stresstests, Notfallpläne, tägliche Datensicherungen, Sicherheitstrainings für Mitarbeitende, 2-Faktor-Authentifizierung oder eine angemessene Rechteverwaltung. Daher sollten Unternehmen die Richtlinie als Anlass nehmen, die IT zu durchleuchten.
Cyberversicherung
Finanzchef24 rät nicht ganz uneigennützig zusätzlich, eine Cyberversicherung zu prüfen. Ab Oktober 2024 dürfte deren Abschluss nach interner Einschätzung wegen der neuen Richtlinie allerdings schwieriger werden. Wer in den nächsten Wochen handelt, könne doppelt profitieren, wirbt Rezvanian. „Wer jetzt einen Angebotsprozess für IT-Cyberversicherungen durchläuft, kann im Zuge dessen die Mindestanforderungen ins eigene Unternehmen übertragen. Einige Versicherer bieten sogenannte Antragsmodelle an: Dort können Unternehmer Angaben zur eigenen IT-Sicherheit machen und prüfen, ob sie eine Versicherung erhalten würden. So wird einerseits verhindert, dass Anträge abgelehnt werden und andererseits erhält das Unternehmen Hinweise auf wesentliche IT-Schwachstellen.“