"Unternehmen sollten mit der NIS-2-Umsetzung nicht auf den Gesetzgeber warten"

Im Interview erläutert der Cybersicherheitsexperte Dr. Tim Sattler, welche Stolpersteine in vielen deutschen Unternehmen die erfolgreiche Einführung der NIS-2-Vorgaben derzeit noch behindern – und wie sie sich aus dem Weg räumen lassen.

springerprofessional.de: Herr Sattler, warum verläuft die Einführung von NIS 2 in Deutschland bislang eher schleppend?

Tim Sattler: Das Gesetzgebungsverfahren verlief insgesamt schleppend: Die Ressortabstimmung für das NIS-2-Umsetzungsgesetz gestaltete sich von außen betrachtet eher schwierig. So wurde der Gesetzentwurf erst Ende Juli 2024 vom Bundeskabinett verabschiedet. Bundesrat und Bundestag konnten sich wegen der Sommerpause erst im September 2024 damit befassen. Es gab zudem zahlreiche berechtigte Einwände von Verbänden, aber auch vom Bundesrechnungshof. Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes wurde daher zuletzt erst im Frühjahr 2025 statt fristgerecht im Oktober 2024 gerechnet. Dann kam auch noch der Bruch der Ampelkoalition. Inzwischen erscheint es eher unwahrscheinlich, dass das Gesetz überhaupt noch in dieser Legislaturperiode in Kraft tritt.

Welche Bedenken haben viele Unternehmen, wenn es um NIS 2 geht?

Natürlich gibt es Bedenken hinsichtlich einer Überregulierung und Belastung der Unternehmen, insbesondere der kleineren Unternehmen, für die die strengeren Sicherheits- und Meldeanforderungen eine Herausforderung darstellen. Neben den direkten Verpflichtungen verschärft aber auch der Mangel an Fachkräften im Bereich der Informations- und Cybersicherheit diese Herausforderung. Unternehmen haben bereits jetzt Schwierigkeiten, qualifiziertes Personal zu finden und zu halten. Laut dem jüngsten Bericht "State of Cybersecurity 2024" der Isaca, auf den zuletzt auch in einer öffentlichen Anhörung im Bundestag verwiesen wurde, räumen 61 Prozent der befragten Experten in Europa ein, dass die Cybersicherheitsorganisation in ihrem Unternehmen unterbesetzt ist. Darüber hinaus lässt die Richtlinie unterschiedliche nationale Umsetzungen in den EU-Mitgliedstaaten zu, was zu möglichen Abweichungen bei den Compliance-Anforderungen führt. Für Unternehmen, die in mehreren Ländern tätig sind, bedeutet dies zusätzliche Komplexität, da sie möglicherweise unterschiedliche Verpflichtungen erfüllen müssen. Dies gilt auch für die Einrichtung der Berichtswege zu den nationalen Behörden, die sich von Land zu Land unterscheiden. Ein weiterer Kritikpunkt ist die ungleiche Belastung von Unternehmen und öffentlicher Verwaltung bei der Umsetzung in Deutschland. Dabei hinken zum Beispiel die Kommunen bei Cybersicherheitsmaßnahmen oft hinterher.

Inwieweit lassen sich die Probleme aus Ihrer Sicht am besten bewältigen?

Unternehmen sollten dem Aufbau interner Cybersicherheitskapazitäten Priorität einräumen, indem sie in die Aus- und Weiterbildung ihrer Mitarbeiter investieren. Umfassende Schulungsprogramme und Partnerschaften mit Hochschulen können dazu beitragen. Darüber hinaus sollten insbesondere kleinere Unternehmen auf Managed Security Services und qualifizierte Dienstleister zurückgreifen, um den Mangel an internen Experten auszugleichen. Generell sollten mehr Anreize für eine Karriere im Bereich "Cybersicherheit" geschaffen werden, etwa durch Stipendien und Ausbildungsprogramme. Neben Regierungen und Unternehmen können hier auch Verbände einen wertvollen Beitrag leisten, indem sie zum Beispiel anerkanntes Know-how, Schulungen und Zertifizierungen anbieten. Schließlich vereinfachen etablierte Rahmenwerke und sektorspezifische Leitlinien die Umsetzung und vermeiden so Doppelarbeit, was angesichts der begrenzten Verfügbarkeit von Fachkräften besonders relevant ist.

Was kann getan werden, um weitere Verzögerungen bei der NIS-2-Einführung zu vermeiden?

Vor allem sollte das Gesetzgebungsverfahren so schnell wie möglich abgeschlossen werden, damit die betroffenen Unternehmen endlich klare Vorgaben für die Umsetzung haben. Ein weiterer kritischer Faktor ist aus meiner Sicht die Ausstattung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) mit ausreichenden Ressourcen, damit das BSI den Mehraufwand effektiv bewältigen und den Unternehmen praxistaugliche Instrumente zur Erfüllung ihrer Pflichten zur Verfügung stellen kann. Unternehmen sollten mit der NIS-2-Umsetzung jedoch nicht auf den Gesetzgeber warten, auch wenn die eigene Betroffenheit vielleicht noch unklar ist. Schließlich sind die Vorgaben der NIS-2-Richtlinie zu den Risikomanagementmaßnahmen im Bereich der Cybersicherheit für jedes Unternehmen relevant und sinnvoll.