Wie würden Sie die Bedeutung von NIS2 im Kontext der aktuellen Cyber-Sicherheitslandschaft einordnen? Ist sie eine evolutionäre Antwort auf bestehende Herausforderungen oder ein revolutionärer Schritt in eine neue Richtung?

Dr. David Bomhard: „NIS2 kann als eine evolutionäre Weiterentwicklung der bestehenden Cyber-Sicherheitsregulierung betrachtet werden. Denn NIS2 baut auf der ursprünglichen NIS-Richtlinie auf und erweitert diese, indem sie den Anwendungsbereich auf neue Sektoren ausweitet, detailliertere Anforderungen an die Cyber-Sicherheit stellt und die Zusammenarbeit zwischen den Mitgliedstaaten stärkt.“

Steve Ritter: „Genau so sehe ich das auch. Die Einführung gesetzlicher Anforderungen an die IT-Sicherheit und die Meldung von IT-Sicherheitsvorfällen sind nicht neu und bestehen in vielen Bereichen seit Jahren. Beispielsweise gab es das erste IT-Sicherheitsgesetz 2015, gefolgt von der ersten NIS-Richtlinie im Jahr 2016 und dem zweiten IT-Sicherheitsgesetz von 2021 sowie KRITIS. All diese Regularien haben Verpflichtungen für kritische Infrastrukturen, Anbieter digitaler Dienste oder Unternehmen mit besonderem öffentlichem Interesse eingeführt."

 

Auch wenn es sich eher um eine evolutionäre Entwicklung im Bereich der Cyber-Sicherheit handelt, gibt es dennoch wichtige Veränderungen, die NIS2 mit sich bringt? Was würden Sie hier besonders hervorheben?

Steve Ritter: „Die wichtigste Neuerung sehe ich in der Größe des Kreises der betroffenen Unternehmen. Waren es in der Vergangenheit in Deutschland nur einige Tausend besonders wichtige Unternehmen, die expliziten IT-Sicherheitspflichten unterlagen, so werden es mit NIS2 eher mehrere Tausend bis Zehntausende sein. Die genauen Zahlen sind noch nicht bekannt, aber die Diskussion schwankt bisher zwischen 15.000 und 45.000 Unternehmen, was eine enorme Steigerung bedeutet."

Dr. David Bomhard: „Ja, auch ich sehe die bedeutendste Änderung zweifellos in der Ausweitung des Anwendungsbereichs, welcher unter NIS2 eine Vielzahl an Unternehmen umfasst, die unter NIS 1 keine Cyber-Sicherheitsverpflichtungen hatten.“

 

Für viele Organisationen besteht also dringender Handlungsbedarf. Vor welchen Herausforderungen sehen Sie Unternehmen und Behörden bei der Umsetzung von NIS2?

Dr. David Bomhard: „Die größten Herausforderungen werden wahrscheinlich darin bestehen, angemessene Sicherheitsmaßnahmen auf dem neuesten Stand der Technik zu implementieren und die erweiterten Anforderungen an das Risikomanagement im Bereich der Cyber-Sicherheit zu erfüllen. Unternehmen müssen Maßnahmen einführen, um den verschärften Meldepflichten bei Sicherheitsvorfällen nachzukommen. Während die bereits unter NIS1 regulierten Unternehmen ihr Cyber-Sicherheitskonzept hierfür überarbeiten müssen, sind viele Unternehmen, die erstmals durch NIS2 reguliert werden, in der Pflicht, neue Konzepte zu entwickeln und umzusetzen.“

Steve Ritter: „Die größte Herausforderung für Unternehmen sehe ich zusätzlich im Fehlen einer Übergangsfrist. NIS2 legt lediglich eine Umsetzungsfrist für die Mitgliedstaaten fest, nicht aber für die Unternehmen selbst. Frühere Regelungen wie das IT-Sicherheitsgesetz 1.0 sahen zu Recht ausreichende Übergangsfristen vor. Hinzu kommt die Herausforderung, genügend Fachpersonal zu finden, das sich mit IT-Sicherheit auskennt und die Anforderungen im Unternehmen umsetzen kann. Für die Behörden besteht die Schwierigkeit, dass der Kreis der zu überwachenden Unternehmen massiv zunimmt, während in Zeiten knapper Kassen unklar ist, ob sie auch die notwendigen Ressourcen zur Ausübung der Aufsicht erhalten werden."

 

Inwieweit sind die Unternehmen bereits auf NIS2 vorbereitet? Gibt es hier noch viel zu tun und, wenn ja, wo sehen Sie den größten Handlungsbedarf?

Steve Ritter: „Ich würde sagen, es variiert. Unternehmen, die bereits zuvor Pflichten aus NIS 1 und den IT-Sicherheitsgesetzen erfüllen mussten, werden wahrscheinlich keine großen Probleme haben. Sie mussten bereits ähnliche Pflichten erfüllen, wie sie NIS2 jetzt enthält. Unternehmen, die sich freiwillig um ihre IT-Sicherheit gekümmert haben, etwa zum Schutz ihrer Prozesse und ihrer Geschäfts- und Betriebsgeheimnisse, werden vermutlich auch nur leichten Anpassungsbedarf haben. Schwieriger wird es für die Unternehmen, die IT-Sicherheit bisher nur als Kostenfaktor wahrgenommen und sich nicht ernsthaft damit beschäftigt haben. Für sie werden die neuen Anforderungen sicherlich eine große Herausforderung, die sie schnellstmöglich und mit großem Einsatz angehen sollten. So ein Risikomanagement und die Umsetzung der als erforderlich ermittelten Maßnahmen lassen sich nicht von heute auf morgen realisieren.“

Dr. David Bomhard: „Ich glaube, dass Unternehmen, die bereits unter NIS1 fallen, NIS2 teilweise unterschätzen, wenn sie davon ausgehen, dass ihre bereits getroffenen Maßnahmen im Großen und Ganzen ausreichen und nur geringfügige Anpassungen erforderlich sind. Bei Unternehmen, die mit NIS2 zum ersten Mal einer Cyber-Sicherheitsregulierung unterliegen, stellen wir immer wieder fest, dass viele noch gar nicht wissen, was auf sie zukommt. Zudem müssen unter NIS2 viele Cyber-Sicherheitsmaßnahmen in einem nun sehr kurzen Zeitraum umgesetzt werden, was gerade bei begrenzten Ressourcen in kleineren Unternehmen sehr herausfordernd sein kann.“

 

Eine abschließende Frage zur Haftung: Wie wirkt sich NIS2 auf die Haftung von Vorständen und Geschäftsführern in Bezug auf Cyber-Sicherheit aus und welche Konsequenzen könnten sich daraus für die Unternehmensführung ergeben?

Dr. David Bomhard: „Ich nehme an, dass die Richtlinie dazu führen wird, dass Cyber-Sicherheit für die Unternehmensführung einen noch höheren Stellenwert einnimmt. NIS2 führt dazu, dass IT-Sicherheit zur persönlichen Aufgabe für das Management wird. Zudem sieht NIS2 deutlich höhere Bußgelder bei Verstößen vor, diese können bis zu 2 % des weltweiten Jahresumsatzes oder mindestens 10 Millionen Euro betragen.“

Steve Ritter: „Für die Geschäftsführung bringt NIS2 in der Tat mit der Betonung von Cyber-Security-Governance und der expliziten Festlegung der Leitungsverantwortlichkeit durchaus massive Veränderungen. Auch bisher konnte man für bestimmte Unternehmensrechtsformen diese Pflicht bereits aus der gesetzlichen Risikoverantwortlichkeit der Leitung herleiten. Mit NIS2 wird diese Pflicht jedoch explizit in Bezug auf die IT-Sicherheit und vor allem rechtsformunabhängig gesetzlich festgeschrieben. Das ist noch mal eine neue Dimension. Insbesondere die Regressmöglichkeiten sollten nicht unterschätzt werden. Kurz gesagt: Wer als Geschäftsleitung Investitionen in die IT-Sicherheit unterlässt, um kurzfristig den Unternehmensgewinn zu verbessern, sieht sich künftig im Fall vermeidbarer IT-Sicherheitsvorfälle unter Umständen Regressforderungen des Unternehmens ausgesetzt, wenn dadurch Schäden entstehen.“

 

Vielen Dank für das Interview.