Herr Haßler, worum geht es bei der NIS2-Richtlinie?
MH: Mit einem Wort: Bevölkerungsschutz.
Ok, klingt wichtig. Dann in mehreren Worten.
MH: Durch die NIS2-Richtlinie soll Infrastruktur, die für das Funktionieren von Wirtschaft und Gesellschaft in Europa wesentlich ist, besser vor Cyberangriffen geschützt werden. NIS2 legt Cybersecurity-Mindeststandards für diese Sektoren und Einrichtungen fest.
Welche Bereiche sind das?
MH: Die Richtlinie spricht von Sektoren, insgesamt sind es 18. Diese werden in „wesentliche“ und „wichtige“ Einrichtungen unterteilt. Die Einteilung hat unter anderem Einfluss auf die Höhe möglicher Strafen, wenn die NIS2-Vorgaben nicht eingehalten werden – NIS2 umsetzen müssen aber alle 18 Sektoren. Dazu gehören beispielsweise Energie, Transport, Gesundheit, Lebensmittelproduktion, Abfallwirtschaft oder die Herstellung von Maschinen, Fahrzeugen und elektronischen Geräten.
Angesichts der Bedeutung der Richtlinie und der steigenden Gefahr von Cyberattacken – warum wurde die Richtlinie noch nicht in deutsches Gesetz umgesetzt?
MH: Ursprünglich war von einer Umsetzung bis Oktober 2024 ausgegangen worden. Das werden wir nicht mehr schaffen (lacht). Inzwischen hat die EU-Kommission ein Vertragsverletzungsverfahren wegen der Nichtumsetzung der Richtlinie gegen Deutschland eingeleitet. Die Verzögerung liegt vor allem an komplexen Abstimmungsprozessen und Diskussionen im Gesetzgebungsverfahren. Auch die Vielzahl der betroffenen Branchen und Unternehmen macht die Umsetzung anspruchsvoll.
„Die NIS2-Richtlinie ist aus sicherheitstechnischer, strategischer und politischer Perspektive eine absolut sinnvolle und zeitgemäße Maßnahme.“
Wann rechnen Sie mit einem Inkrafttreten?
MH: Ganz genau lässt sich das aufgrund der anstehenden Neuwahlen und der damit verbundenen Regierungsbildung nicht sagen. Im Laufe des Jahres 2025 wird die NIS2-Richtlinie in deutsches Gesetz umgesetzt werden.
Was raten Sie Unternehmen?
MH: Die Regierung – welcher Couleur auch immer – hat die Aufgabe die Bevölkerung zu schützen. Wir leben in einer digitalen Welt, die Verbindungen zwischen den Cyberraum und der physischen Welt werden stärker, gleichzeitig nehmen die Bedrohungen durch Cyberkriminelle oder Staaten – Stichwort hybride Kriegsführung – stetig zu. Die NIS2-Richtlinie ist aus sicherheitstechnischer, strategischer und politischer Perspektive eine absolut sinnvolle und zeitgemäße Maßnahme. Europa schützt seine Bevölkerung besser und zeigt gleichzeitig, dass es wehrhaft ist. Unternehmen sollten daher nicht bis zum letzten Moment warten. NIS2-Compliance herzustellen ist nichts, dass in drei Tagen erledigt ist.
Als Geschäftsführer eines Compliance-Dienstleisters haben Sie doch sicher auch entsprechende Lösungen im Portfolio.
MH: Klar. Eben weil wir wissen, dass die Umsetzung solcher regulatorischer Neuerungen für die Unternehmen – gerade für mittelständische Firmen – parallel zum laufenden Geschäft eine große Herausforderung ist, haben wir eine spezielle Lösung für den Mittelstand konzipiert: RC_NIS2. Dabei machen wir Mittelständler ressourcenschonend in wöchentlichen Workshops NIS2-ready. Das Erreichen der NIS2-Compliance ist nämlich kein Sprint, es ist ein Prozess. Da ist stetige Anpassung nötig. Deshalb begleiten wir unsere Kunden auch langfristig.
Wir hatten bereits über den Zeitpunkt des Inkrafttretens des Gesetzes gesprochen. Wann werden die Workshops beginnen?
MH: Die Workshops starten mit angemessenem zeitlichem Vorlauf zum Wirksamwerden des nationalen Umsetzungsgesetzes. Als Dienstleister mit vielen mittelständischen Firmen liegt unser Fokus darauf, unseren Kunden die Sicherheit zu geben, die sie brauchen, um sich bestmöglich auf ihr Kerngeschäft fokussieren zu können. Die Workshop-Reihe spiegelt das wider. Wir machen und halten Mittelständler NIS2-ready – ohne sie zu überfordern und ohne sie unnötigen Risiken – auch mit Blick auf Bußgelder auszusetzen.
