Angesichts der voranschreitenden Digitalisierung und Technologieabhängigkeit ist die Bedeutung von Cybersicherheit für Unternehmen eine der dringlichsten Herausforderungen unserer Zeit. Jedes Jahr sind über 20 Millionen Personen allein in Deutschland betroffen. Unternehmen müssen täglich mehrere hundert Millionen Angriffe abwehren. Die Implementierung effektiver Schutzmaßnahmen für Systeme, Netzwerke und Programme ist entscheidend, um die Integrität, Vertraulichkeit und Verfügbarkeit von Unternehmensdaten und damit die Existenz der Unternehmen und der Arbeitsplätze zu sichern.
Zum Schutz Kritischer Infrastrukturen im öffentlichen und im privaten Bereich tragen sowohl die physische Sicherheit als auch die digitale oder auch Cybersicherheit bei. Beide Bereiche werden durch EU-Richtlinien reguliert, die am 16. Januar 2023 in Kraft getreten sind. Geregelt werden
Die EU-Mitgliedstaaten sind bis Oktober 2024 verpflichtet, die Richtlinie in nationale Gesetze umzusetzen. Das deutsche Umsetzungsgesetz wird in diesem Sommer erwartet.
Wer wird geschützt?
Unterschieden werden besonders wichtige und wichtige Einrichtungen. Besonders wichtige Einrichtungen sind Unternehmen aus bestimmten Sektoren, wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastruktur, Gesundheitsversorgung und digitaler Infrastruktur. Wichtige Einrichtungen sind u.a. Anbieter digitaler Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze.
Wie kann man sich schützen?
Im Wesentlichen geht es um zwei Fragen. Wie vermeiden Unternehmen Cyberattacken? Wie gehen Unternehmen mit Cyberattacken um? Die NIS-2-Richtlinie führt daher Pflichten ein: Insbesondere müssen die erfassten Unternehmen ein geeignetes Risikomanagement für Cybersicherheit einführen und bei Sicherheitsvorfällen Meldepflichten nachgehen. Das Bundesamt für Sicherheit und Informationstechnik (BSI) ist für Cybersicherheitszertifizierungen zuständig und spricht Empfehlungen zum Thema Cybersicherheit aus.
Wann muss gehandelt werden?
Das deutschen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2-UmsuCG) dürfte noch im Jahr 2024 in Kraft treten. Dann bleibt den Unternehmen nicht mehr viel Zeit, die Anforderungen selbst umzusetzen. Die Unternehmen sollten sich schon heute mit den Anforderungen und Pflichten befassen. Das BSI argumentiert nämlich, dass die Verpflichtungen der NIS2-Richtlinie bereits seit dem Kommissionsentwurf aus Dezember 2020 bekannt.
Strafen und Haftungsrisiko?
Die NIS-2-Richtlinie ist kein zahnloser Tiger. Zum einen drohen hohe Bußgelder: bei sehr wichtigen Einrichtungen bis zu 2 % des Jahresumsatzes eines Unternehmens. Zum anderen trifft die Geschäftsleitung auch ein Haftungsrisiko: Wird etwa das Risikomanagement im Unternehmen nicht eingeführt, so bildet dies eine Pflichtverletzung. Für diese könnte die Geschäftsleitung sogar gegenüber dem eigenen Unternehmen haftbar gemacht werden.
oikon ist ein starker Partner:
oikon hat erst vor wenigen Tagen, am 17.05.2024 gemeinsam mit dem Senat der Wirtschaft eine Cybersecurity Veranstaltung in Hamburg durchgeführt, die großen Anklang bei den Teilnehmern hatte, die mit Expertise und Enthusiasmus an den Diskussionen teilnahmen.
Gemeinsam mit unseren kompetenten Partnern weltweit kann oikon sowohl rechtlich beraten zu Cybersicherheitsmaßnahmen als auch ganz praktische technische Lösungen vermitteln, die wir alle in unserem täglichen Leben ergreifen müssen zum Schutz vor Bedrohungen wie zum Beispiel Datendiebstahl, Identitätsdiebstahl, Blockieren von Daten und Lösegeldforderungen (sog. Ransomeware) oder direkte Manipulation von Daten durch kriminelle Nutzung von künstlicher Intelligenz, zum Beispiel in der Meinungsbildung.