Die neue NIS2-Richtlinie soll ab 17. Oktober in Deutschland als Gesetz in Kraft treten. Sie verschärft die Mindestanforderungen an die IT-Sicherheit vieler Unternehmen. Damit sollen die Unternehmen resilienter gegen Hackerangriffe werden - und damit auch Deutschland. NIS2 betrifft rund 30.000 Unternehmen in gesellschaftlich wichtigen Geschäftsfeldern wie Energieversorgung, Gesundheitswesen, Verkehr und digitale Infrastruktur.
Dass Unternehmen bei NIS2 derzeit besonders an Firewall und IT-Pflichtenhefte denken, liegt laut SCRIVO Communications an den Begrifflichkeiten und der Verortung. “Das aktuelle BSI-Gesetz ist gut 50 Seiten lang. Das Wort Kommunikation kommt 62 Mal vor. Aber: Wenn es darin um Kommunikation geht, dann fast ausschließlich um technische und strukturelle Kommunikation im Sinne von Daten- oder Informationsübermittlung im IT-Sinne. Kommunikation im Verständnis von Krisenkommunikation mit Mitarbeitern, Kunden und anderen Stakeholdern und das Reputationsmanagement spielen nahezu keine Rolle”, erklärt Kai Oppel, Gründer und Inhaber der Agentur SCRIVO Communications. Er warnt Unternehmen davor, das Gesetz zu einseitig zu interpretieren.
Gut einen Monat vor Inkrafttreten des Gesetzes herrscht insbesondere bei kleineren Unternehmen Verunsicherung und Unwissenheit. “Viele wissen nicht, ob sie unter die Richtlinie fallen. Zudem ist aktuell ungewiss, wie das Gesetz konkret ausgestaltet sein wird. Ein zweiter Fehler ist, dass Unternehmen das Thema Cyberrisiko als IT-Thema betrachten. Dabei ist es ebenso ein Kommunikationsthema. Der dritte Denkfehler ist, die Gesetzespflicht über die unternehmerische Vernunft zu stellen. Nicht vom Gesetz betroffen zu sein bedeutet nicht, sicher vor IT-Angriffen und Auswirkungen zu sein”, sagt Oppel.
Gesetz als Weckruf: Kontrolle in der Kommunikation machbar
Das neue NIS2-Gesetz ist ein Weckruf für alle Unternehmen, weil Cybergefahren branchenübergreifend zugenommen haben. “Wer sein Geschäft bei einem IT-Angriff schützen will, muss schnell und richtig kommunizieren. Kommunikationskontrolle und Sicherheit sind machbar”, erklärt er. Vorbereitung und Zeitgewinn sind entscheidend, wenn es trotz IT-Vorkehrungen zu einer Cyberattacke oder IT-Störungen kommt. Effektive Kommunikation kann laut Kai Oppel von SCRIVO als Schutzschild fungieren, wenn Unternehmen aus NIS2 die richtigen Konsequenzen ziehen. Sie ermöglicht es, die Kontrolle über die Narrative zu behalten, Vertrauen zu wahren und potenzielle Reputationsschäden zu minimieren.
Mit Sprachregelungen und Medienbeobachtung Schaden abwenden
Neben technischen Bestimmungen wie einer Multi-Faktor-Authentifizierung (MFA), Sicherheitsüberprüfungen und Datensicherungen sollten Unternehmen ihre kommunikative Resilienz stärken. Szenarioanalysen helfen, mögliche Krisensituationen vorauszusehen. Kommunikationspläne definieren klare Abläufe und Verantwortlichkeiten. Medienbeobachtung ermöglicht schnelle Reaktionen, und vorbereitete Sprachregelungen gewährleisten eine konsistente Außenkommunikation.
Gesetzliche Sanktionen sind hart, die Marktstrafen sind härter
Ein Beispiel sei die strenge Meldepflicht, die ein zentrales Element der Richtlinie und des Gesetzes ist. “Das neue dreistufige Meldesystem für Cybersicherheitsvorfälle bezieht sich auf die gesetzlichen Vorgaben, einen Vorfall binnen 24 Stunden an das BSI zu melden und Updates zu geben. Dass sich daraus aber Kommunikationspflichten gegenüber Kunden, Lieferanten oder anderen Stakeholdern ergeben, wird gern übersehen. Dabei ist die Strafe des Marktes möglicherweise viel härter als die gesetzlichen Sanktionen und Strafen von bis zu 10 Mio. Euro”, sagt Kai Oppel. „Vertrauensverlust bei Kunden, Einbruch des Aktienkurses oder langfristige Imageschäden verstärken die finanziellen Auswirkungen eines Cybervorfalls erheblich.“
Laut SCRIVO Communications muss das Thema NIS2 aus dem IT-Silo heraus. "NIS2 erfordert einen ganzheitlichen Unternehmensansatz", betont Oppel. "Es geht nicht nur um IT-Sicherheit, sondern um die Schaffung einer umfassenden Cyber-Resilienz-Kultur, die technische, kommunikative und organisatorische Aspekte gleichermaßen berücksichtigt." Unternehmen, die Cyber- und IT-Themen ausschließlich an die IT-Abteilung delegieren, vergeben die Chance, das ganze Unternehmen zu sensibilisieren und weitreichende Auswirkungen von Cyberrisiken auf alle Geschäftsbereiche zu erkennen.