NIS2-Gesetz: Kommunikation ist mehr als Meldepflicht an Behörden

Fast internet connection concept with running businessmanFast internet connection concept with running businessmanalphaspirit – stock.adobe.com

Die neue NIS2-Richtlinie soll ab 17. Oktober in Deutschland als Gesetz in Kraft treten. Sie verschärft die Mindestanforderungen an die IT-Sicherheit vieler Unternehmen. Damit sollen die Unternehmen resilienter gegen Hackerangriffe werden - und damit auch Deutschland. NIS2 betrifft rund 30.000 Unternehmen in gesellschaftlich wichtigen Geschäftsfeldern wie Energieversorgung, Gesundheitswesen, Verkehr und digitale Infrastruktur.

Dass Unternehmen bei NIS2 derzeit besonders an Firewall und IT-Pflichtenhefte denken, liegt laut SCRIVO Communications an den Begrifflichkeiten und der Verortung. “Das aktuelle BSI-Gesetz ist gut 50 Seiten lang. Das Wort Kommunikation kommt 62 Mal vor. Aber: Wenn es darin um Kommunikation geht, dann fast ausschließlich um technische und strukturelle Kommunikation im Sinne von Daten- oder Informationsübermittlung im IT-Sinne. Kommunikation im Verständnis von Krisenkommunikation mit Mitarbeitern, Kunden und anderen Stakeholdern und das Reputationsmanagement spielen nahezu keine Rolle”, erklärt Kai Oppel, Gründer und Inhaber der Agentur SCRIVO Communications. Er warnt Unternehmen davor, das Gesetz zu einseitig zu interpretieren.

Gut einen Monat vor Inkrafttreten des Gesetzes herrscht insbesondere bei kleineren Unternehmen Verunsicherung und Unwissenheit. “Viele wissen nicht, ob sie unter die Richtlinie fallen. Zudem ist aktuell ungewiss, wie das Gesetz konkret ausgestaltet sein wird. Ein zweiter Fehler ist, dass Unternehmen das Thema Cyberrisiko als IT-Thema betrachten. Dabei ist es ebenso ein Kommunikationsthema. Der dritte Denkfehler ist, die Gesetzespflicht über die unternehmerische Vernunft zu stellen. Nicht vom Gesetz betroffen zu sein bedeutet nicht, sicher vor IT-Angriffen und Auswirkungen zu sein”, sagt Oppel.

Gesetz als Weckruf: Kontrolle in der Kommunikation machbar

Das neue NIS2-Gesetz ist ein Weckruf für alle Unternehmen, weil Cybergefahren branchenübergreifend zugenommen haben. “Wer sein Geschäft bei einem IT-Angriff schützen will, muss schnell und richtig kommunizieren. Kommunikationskontrolle und Sicherheit sind machbar”, erklärt er. Vorbereitung und Zeitgewinn sind entscheidend, wenn es trotz IT-Vorkehrungen zu einer Cyberattacke oder IT-Störungen kommt. Effektive Kommunikation kann laut Kai Oppel von SCRIVO als Schutzschild fungieren, wenn Unternehmen aus NIS2 die richtigen Konsequenzen ziehen. Sie ermöglicht es, die Kontrolle über die Narrative zu behalten, Vertrauen zu wahren und potenzielle Reputationsschäden zu minimieren.

Mit Sprachregelungen und Medienbeobachtung Schaden abwenden

Neben technischen Bestimmungen wie einer Multi-Faktor-Authentifizierung (MFA), Sicherheitsüberprüfungen und Datensicherungen sollten Unternehmen ihre kommunikative Resilienz stärken. Szenarioanalysen helfen, mögliche Krisensituationen vorauszusehen. Kommunikationspläne definieren klare Abläufe und Verantwortlichkeiten. Medienbeobachtung ermöglicht schnelle Reaktionen, und vorbereitete Sprachregelungen gewährleisten eine konsistente Außenkommunikation.

Gesetzliche Sanktionen sind hart, die Marktstrafen sind härter

Ein Beispiel sei die strenge Meldepflicht, die ein zentrales Element der Richtlinie und des Gesetzes ist. “Das neue dreistufige Meldesystem für Cybersicherheitsvorfälle bezieht sich auf die gesetzlichen Vorgaben, einen Vorfall binnen 24 Stunden an das BSI zu melden und Updates zu geben. Dass sich daraus aber Kommunikationspflichten gegenüber Kunden, Lieferanten oder anderen Stakeholdern ergeben, wird gern übersehen. Dabei ist die Strafe des Marktes möglicherweise viel härter als die gesetzlichen Sanktionen und Strafen von bis zu 10 Mio. Euro”, sagt Kai Oppel. „Vertrauensverlust bei Kunden, Einbruch des Aktienkurses oder langfristige Imageschäden verstärken die finanziellen Auswirkungen eines Cybervorfalls erheblich.“

Laut SCRIVO Communications muss das Thema NIS2 aus dem IT-Silo heraus. "NIS2 erfordert einen ganzheitlichen Unternehmensansatz", betont Oppel. "Es geht nicht nur um IT-Sicherheit, sondern um die Schaffung einer umfassenden Cyber-Resilienz-Kultur, die technische, kommunikative und organisatorische Aspekte gleichermaßen berücksichtigt." Unternehmen, die Cyber- und IT-Themen ausschließlich an die IT-Abteilung delegieren, vergeben die Chance, das ganze Unternehmen zu sensibilisieren und weitreichende Auswirkungen von Cyberrisiken auf alle Geschäftsbereiche zu erkennen.

LESEN SIE AUCH

Hi-Tech digital technology cyber security display holographic inHi-Tech digital technology cyber security display holographic inKanawatTH – stock.adobe.com
Cyber

Cybersicherheit: Kabinett bringt NIS2-Umsetzung auf den Weg

Das Bundeskabinett hat die notwendige deutsche Umsetzung – das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – beschlossen. Die vorgesehene Umsetzungsfrist im Oktober wird nicht mehr einzuhalten sein. Umso wichtiger ist es, das Gesetz zügig umzusetzen und ein Inkrafttreten bis Anfang 2025 sicherzustellen.

Shocked freelancer hipster man looks to laptop screen and can not believe unpleasant news. Pop-eyed frightened businessman trader raises one's glasses above his eyes. Trader monitoring stock exchangeShocked freelancer hipster man looks to laptop screen and can not believe unpleasant news. Pop-eyed frightened businessman trader raises one's glasses above his eyes. Trader monitoring stock exchangeartiemedvedev – stock.adobe.com
Cyber

IT-Hausaufgaben fürs Homeoffice: Wer remote arbeitet, riskiert andere Cybergefahren

Die Zeitspanne zwischen dem Aufdecken von Sicherheitslücken und deren Ausnutzung durch Kriminelle wird immer kürzer. Die hohe Homeoffice-Quote fordert die IT-Sicherheit bei Unternehmen zusätzlich heraus. Mehr Arbeit im Homeoffice erfordert starke Passwörter, VPNs und regelmäßige Updates zum Schutz vor Cyberangriffen.

Young woman face recognitionYoung woman face recognitionImageFlow – stock.adobe.com
Cyber

CyberArk-Studie zeigt hohe Zahl identitätsbezogener Angriffe

Der „CyberArk 2024 Identity Security Threat Landscape Report“ zeigt, dass die steigende Zahl menschlicher und nicht-menschlicher Identitäten die Gefahr von Cyberangriffen erhöht.

Mid adult man writing with digitized pen on digital tablet next to tools in woodworking factoryMid adult man writing with digitized pen on digital tablet next to tools in woodworking factoryStratfordProductions – stock.adobe.com
Cyber

Neu im Markt - der SI Cyberschutz

Der SI Cyberschutz ist für kleine und mittlere Unternehmen (KMU) aus Handwerk und Handel gedacht. Das Konzept deckt Cyberrisiken bis zu einer Versicherungssumme von drei Mio. Euro ab. Inklusive sind auch Dienstleistungs- und Schulungsangebote zur Prävention.

Two colleagues working together to protect clients confidential information and cyber security. IT hologram padlock icons modern office background at night timeTwo colleagues working together to protect clients confidential information and cyber security. IT hologram padlock icons modern office background at night time
Cyber

Cyberstudie 2024 zeigt Cyber-Vergessen der KMU

Immer mehr KMU-Betriebe machen Erfahrungen mit Cyberangriffen. Nach rund 40 Prozent in den vergangenen Jahren sind es laut einer HDI-Umfrage aktuell 53 Prozent. Wobei sich Cyberkriminelle auf Firmen mit 50 bis 250 Mitarbeitende konzentrieren.

Blue Security Icon On Laptop KeypadBlue Security Icon On Laptop KeypadAndrey Popov – stock.adobe.com
Cyber

Mittelstand investiert verstärkt in Cybersicherheit

Durch die zunehmende Digitalisierung wächst die Bedrohung durch Cyberangriffe. Kleine und mittlere Unternehmen reagieren darauf: Jedes vierte KMU sichert sich mittlerweile mit einer Cyberpolice ab – in 2023 war es nur jedes fünfte.