Probleme bei der Umsetzung

NIS2 - viele Fragen, wenig Antworten

Benjamin Richter ist Geschäftsführer der Cyber Complete GmbH. Seit 13 Jahren steht er Großunternehmen und Konzernen bei Fragen zur IT-Security beratend zur Seite. Dabei schult er die Mitarbeiter zur Awareness und audiert im Bereich der Management-Systeme (vorrangig ISO 27001, ISO 21434 und NIS2).
Hinter NIS2 stehen immer noch viele Fragezeichen. Die Verantwortlichen in deutschen Unternehmen rätseln, wie sie mit der neuen IT-Security-Richtlinie umgehen sollen. Das sind die Gründe dafür.
Unternehmen wünschen sich mehr Klarheit und transparente Beschreibungen für die Umsetzung der EU-Richtlinie NIS2.
Unternehmen wünschen sich mehr Klarheit und transparente Beschreibungen für die Umsetzung der EU-Richtlinie NIS2.
Foto: Skorzewiak - shutterstock.com

Das neue Framework zur "Network Information Security" (NIS2) wurde als EU-Richtlinie bereits beschlossen und soll ab 17. Oktober 2024 auch in Deutschland gelten. Doch aktuell gibt es weiterhin viele Unklarheiten darüber, wie diese neuen Compliance-Regeln für die Informationssicherheit umgesetzt und kontrolliert werden sollen. Das sind aktuell die Herausforderungen im Zusammenhang mit NIS2:

Frameworks - zwischen Praxis und Theorie

IT'ler sind in der Regel reine Praktiker. Ein Framework beziehungsweise ein daraus folgendes Management-System gehört für sie ins Reich der Theorie. Somit prallen hier zwei Welten aufeinander, welche am Anfang erst einmal verknüpft werden müssen. Orientierungshilfen helfen hier nur bedingt, da diese ebenfalls meist aus Behördenfeder stammen. Und der erste Referentenentwurf vom April 2023 hat im Grunde für mehr Fragen als Antworten gesorgt. Die Unternehmen wünschen sich hier mehr Klarheit und transparente Beschreibungen der einzelnen Arbeitspakete.

Die Zeit drängt

Jeder, der bereits einmal in einem IT-Projekt gearbeitet hat, weiß, dass neun Monate für ein Projekt dieser Größenordnung in den meisten Unternehmen nicht ausreichen. Somit werden viele Unternehmen die gesetzte Frist nicht einhalten, selbst wenn sie gleich am Anfang des neuen Jahres mit der Umsetzung starten würden. Dafür sind die im Zusammenhang mit dem Framework diskutierten Themenfelder viel zu umfangreich. Erschwerend kommt hinzu, dass die deutsche Fassung zu NIS2 zwar aktuell diskutiert wird, es aber noch keinen offiziellen Termin zur Veröffentlichung gibt.

NIS2 bietet keine Schonfrist

Im Gegensatz zur DSGVO ist für das neue NIS2-Gesetz keine Übergangszeit geplant. Somit fallen alle betroffenen Unternehmen faktisch am Tag nach dem 17. Oktober 2024 unter die neuen Security-Regeln und können von den Behörden entsprechend kontrolliert werden. Auch wenn die Prüfmechanismen noch gar nicht konkret feststehen und der Gesetzgeber nicht auf einem Schlag hunderte von NIS2-Auditoren auf die deutschen Betriebe loslassen wird - es wäre ein wichtiger Punkt, an dieser Stelle den Unternehmen entgegenzukommen und ihnen eine realistische Karenzzeit bis zur ersten offiziellen Überprüfung einzuräumen.

Keine Ressourcen zur Umsetzung

Personalengpässe sind momentan keine Seltenheit - gerade in der IT gibt es einen noch heftigeren Fachkräftemangel als in anderen Branchen. Bereits das Tagesgeschäft ist für die IT-Teams meist komplett arbeitsfüllend. Nun wird mit NIS2 ein weiteres IT-Projekt angestoßen, dessen Arbeitspakete wichtig und eilig sind. Vor allem die kleineren Unternehmen, deren IT-Ressourcen ohnehin limitiert sind, werden nicht umhinkommen, mit externen Beratern beziehungsweise Dienstleistern zusammenzuarbeiten, um die bereits angesprochene Deadline einzuhalten. Was wiederum das knappe IT-Security Budget belastet.

Was machen die Nachbarländer?

Die niederländischen Behörden haben zur Unterstützung ein Selbstbewertungstool entwickelt, damit die Unternehmen selbst ihren Bedarf checken können. Darüber hinaus will man eine Internetbefragung anstoßen, um Ideen für weitere Verbesserungen zum Gesetz einzusammeln. In Frankreich wird die Umsetzung von der ANSSI geleitet, der nationalen Behörde für digitale Sicherheit. Diese plant eine Liste der wesentlichen und wichtigen Einrichtungen zu erstellen, samt Klassifizierung der einzelnen Kritikalitäten. (jm)

Lesetipp: Cybergesetze – Firmen in Zugzwang

Zur Startseite