Damit wird die Cybersicherheit gestärkt, teilt das Bundesinnenministerium mit. Künftig sollen „deutlich mehr Unternehmen eine aktive Rolle beim Schutz ihrer digitalen Infrastruktur übernehmen, quer durch zentrale Wirtschaftsbereiche“, so das Ministerium.

Das sind die im Gesetz verankerten Vorhaben:

• Mehr Unternehmen im Fokus: Neben Betreibern Kritischer Infrastrukturen rückt ein breiteres Spektrum in den Mittelpunkt. Insgesamt betrifft das rund 29.500 Unternehmen.
• Standards für Cybersicherheit: Alle betroffenen Unternehmen sollen künftig zentrale Schutzmaßnahmen etablieren, etwa Risikoanalysen, Notfallpläne, Backup-Konzepte und Verschlüsselungslösungen.
• Klarere Abläufe bei Sicherheitsvorfällen: Wenn es zu einem Cyberangriff kommt, greift ein gestuftes Meldeverfahren: Zunächst eine kurze Erstmeldung innerhalb von 24 Stunden, dann ein Zwischenstand nach 72 Stunden, schließlich ein Abschlussbericht innerhalb eines Monats.
• Stärkere Rolle für das BSI: Das Bundesamt für Sicherheit in der Informationstechnik erhält mehr Befugnisse zur Aufsicht und Durchsetzung. Bei schwerwiegenden Verstößen können künftig auch Bußgelder verhängt werden, die sich am Jahresumsatz orientieren.

Der Tüv-Verband sieht in einer Stellungnahme zur Umsetzung der NIS-2-Richtlinie „einen wichtigen Schritt, um die Cybersicherheit in der deutschen Wirtschaft zu verbessern“. Einzelne Punkte sollten nach Verbandsansicht geschärft werden, darunter die folgenden:

• Ausnahmeregelungen klar definieren oder streichen: Die neu eingeführte Ausnahme für „vernachlässigbare“ Geschäftstätigkeiten werfe „erhebliche Fragen“ auf. Der Begriff sei unbestimmt und werde im Gesetz nicht näher definiert.
• Nachweispflichten überarbeiten: In der NIS-2-Richtlinie ist eine regelmäßige Nachweispflicht für „besonders wichtige Einrichtungen“ vorgesehen, die im deutschen Gesetz nicht ausreichend umgesetzt sei. Die Behörden müssten die Umsetzung der Sicherheitsmaßnahmen überprüfen und durchsetzen können.
• Absicherung der Lieferketten ausformulieren: Mit Blick auf die weitgefassten Formulierungen zur Absicherung der Lieferkette sei es erforderlich, den Unternehmen eine Handreichung und Orientierungshilfe zur Gestaltungstiefe der Maßnahmen zur Absicherung der Lieferkette an die Hand zu geben. Beispielsweise sei die Forderung „Security by Design“ recht vage und bedürfe weiterer Detaillierungen.

Mit der praktischen Umsetzung von NIS-2 im Risikomanagement beschäftigt sich die Zeitschrift für Risikomanagement. Unternehmen müssen ihre IT-Risiken regelmäßig analysieren, technische Schutzmaßnahmen implementieren und nicht zuletzt Business-Continuity-Pläne entwickeln. Cybervorfälle sind fristgerecht an Behörden weiterzuleiten. Außerdem rückt die Sicherheit der Lieferkette stärker in den Fokus. fab

Zeitschrift für Risikomanagement (ZfRM) In Zeiten starker Umwälzungen und Krisenlagen bietet die einzige deutschsprachige Zeitschrift speziell zum Risikomanagement umfassende Orientierung. Nur wer wesentliche Risiken frühzeitig identifizieren, analysieren und bewerten kann, wird langfristig die richtigen Entscheidungen für sein Unternehmen treffen. Früher informiert, schneller reagieren Alles, was Sie im Risikomanagement fachlich und beruflich weiterbringt, präsentiert von inspirierenden Vordenkern und erfahrenen Kollegen: Die wichtigsten Praxisfragen risikobasierter Unternehmensführung finden Sie hier laufend aktuell aus erster Hand beantwortet. Werden die gesetzlichen Vorschriften und Standards zur Erkennung und Abwehr von Risiken beachtet? Ist das Risikomanagement angemessen aufgestellt? Wie arbeiten die Kontrollfunktionen zusammen? Erhalten Vorstand bzw. Geschäftsführung die relevanten Informationen? Was lässt sich gegen wachsende Wirtschaftskriminalität unternehmen? Wie lassen sich ESG-Risiken identifizieren und managen? Zwei gut sortierte Rubriken Anschaulich aufbereitet in den zwei Rubriken „Risk Governance“ und „Risk Management“, finden verantwortliche Führungskräfte – sowohl im operativen Risikomanagement als auch in der Unternehmensleitung – wichtige Entscheidungshilfen und Tipps für die Umsetzung zielgerichteter Maßnahmen.