Im ersten Teil haben wir die Genese und die Zielrichtung der Leitlinie vorgestellt. Nun wollen wir uns mit dem vertieften Blick den Protagonisten zuwenden.
Ganz klar an vorderster Front sind die essenziellen und wichtigen Einrichtungen – KRITIS-Unternehmen – aus den Sektoren Energie, Wasserversorgung, Transport und Gesundheit. Ohne sie stehen alle Räder still, sie halten das System am Laufen, sind mithin verschärft aufgefordert, für eine exzellente CYBEResilienz zu sorgen und die digitalen Systeme robust auszugestalten.
In zweiter Linie finden wir die digitalen Diensteanbieter. Nicht ganz so entscheidend wie die KRITIS-Akteure, gleichwohl unverzichtbar für das Funktionieren des Staates und der Wirtschaft. Egal ob Cloud-Anbieter oder digitaler Handelsplatz, auch sie sind gefordert an ihrer Widerstandsfähigkeit hart zu arbeiten und die bösen „game-changer“ in Form unerwarteter Angriffe abzuwehren.
Die dritte Gruppe sind die sogenannten KMUs. Auch wenn jedes Unternehmen für sich keinen Systemausfall erzeugen kann, sind sie in ihrer Masse doch unentbehrlich für die lückenlose Versorgung der Menschen unseres Landes. Insofern auch das Augenmerk auf die Sicherheit dieser Unternehmen, um keinen Domino-Effekt zuzulassen.
Auf der „motivierenden Seite“ steht an erster Stelle ein Teil des Innenministeriums, das BSI (Bundesamt für die Sicherheit in der Informationstechnik). Mit den BSI-Gesetzen geregelt kommen Anforderungen, Hilfestellungen und Kontrollen. Müßig die Sinnhaftigkeit von Fristen, die Kontrolle der jeweiligen Einhaltung von Bestimmungen oder die Effektivität von Hilfestellungen zu kritisieren. Hier gilt das, was wir bereits früher bei Schulunwilligkeit zu hören bekamen: ihr lernt für euch und nicht für den Lehrer. Soll heißen, das Eigeninteresse der Unternehmen, den bestmöglichen Schutz schnell, flexibel und nachhaltig zu etablieren, sollte so groß sein, dass es das BSI nur als Orientierungsgeber und Koordinator der Zusammenarbeit der Sektoren begreift.
Dazu ein Kommentar von PHILIPP PUDELKO NOVEMBER 15, 2023
„Wir brauchen mehr Schutz und einen offenen Dialog über Richtlinien
Die Einführung der NIS 2 Richtlinie wird nicht ohne ein lebhaftes Echo aus verschiedenen Ecken der Gesellschaft und der beteiligten Sektoren eingeführt. Die meisten dieser Stimmen sind sich einig, dass mehr unternommen werden muss und dass das formulierte Ziel richtig ist. Aber wie so oft gibt es eine Diskussion über den Weg dorthin. Ein Hauptpunkt der Diskussion ist dabei der erweiterte Geltungsbereich der Richtlinie. Natürlich ist es richtig, den Geltungsbereich zu erweitern, weil auch die Einfallstore für Cyber-Attacken weiter geworden sind. Andererseits befürchten viele Stimmen, dass dies auch zu einer massiv komplexeren und herausfordernderen Implementierung für eine sehr große Anzahl von Unternehmen führen könnte.“
Und noch eine aktuelle Kommentierung von RA Christian Solmecke LL.M. / Kanzlei WBS
„Deutschland muss bis zum 17. Oktober 2024 die NIS2-Richtlinie umsetzen, die Mindestanforderungen an die Betreiber sog. Kritischer Infrastrukturen im Hinblick auf die Cybersicherheit stellt. Die Richtlinie sieht in Art. 20 eigentlich vor, dass die Mitgliedstaaten eine gesonderte Haftung für Geschäftsführer einer ‚(besonders) wichtigen Einrichtung‘ etablieren müssen. Ob bzw. wie das entsprechende deutsche BSI-Gesetz deswegen geändert werden muss, wird aktuell im Bundesinnenministerium (BMI) geprüft. Das aktuelle Diskussionspapier des BMI vom 27. September 2023 sieht – anders als der Referentenentwurf des BMI vom 3. Juli – in dem geplanten § 38 BSIG allerdings keine gesonderte Geschäftsführerhaftung mehr vor. Es verweist nur noch auf die bereits bestehende Binnenhaftung von GmbH- oder AG-Geschäftsleitern (z.B. § 93 AktG, 43 GmbHG), die auch schon jetzt u.a. für die Verletzung von Pflichten nach dem BSIG greift. Das letzte Wort ist hier aber derzeit noch nicht gesprochen.“
Wenn Sie als Geschäftsführer mehr zu den Anforderungen an Sie und Ihr Unternehmen wissen wollen und wie Sie mit SECIRA© und den Möglichkeiten zur Anbindung an Ihre Bestandsysteme die Anforderungen an NIS-2 erfüllen können, kontakten Sie uns einfach. Per Mail, per Telefon via XING, LinkedIN oder sogar im „richtigen Leben“. Wir sind der Beratungspartner auf Ihrer Seite.