Betroffen sind vor allem große und mittlere Unternehmen mit mehr als 50 Beschäftigten und mehr als 10 Millionen Euro Jahresumsatz der kritischen Infrastruktur. Der Begriff ist sehr weit gefasst und reicht von Energie, Verkehr, Banken, digitaler Infrastruktur und Dienste bis zu Weltraumunternehmen. Auch Post- und Kurierdienste, verarbeitendes und herstellendes Gewerbe sowie die Sektoren Chemie, Lebensmittel und Forschung fallen darunter. Für kleine Unternehmen, die im Bereich der digitalen Infrastruktur tätig sind, gelten die Regeln ebenfalls. Auch Bundes- und Landesbehörden müssen sich daran halten.
Wie viele Firmen sind betroffen?
Insgesamt dürften es mehrere Tausend sein. Sie werden in "wesentliche" und "wichtige" Unternehmen unterteilt und unterliegen darauf aufbauend unterschiedlichen Prüfpflichten und Sanktionen. Rund 1.000 dürften als wesentliche Unternehmen klassifiziert werden, 3.000 bis 5.000 als wichtige Einrichtungen, sagt Cybersichererheitsexperte Nimmerrichter.
Welche Anforderungen müssen sie erfüllen?
Unternehmen müssen sich bei der Cybersicherheitsbehörde im Innenministerium registrieren und etwa Risikoanalysen erarbeiten und Maßnahmen zur Minimierung und Erkennung von Sicherheitsvorfällen einleiten. Sie müssen auch Backups erstellen, Sicherheitsschulungen durchführen, Verschlüsselung einsetzen und verpflichten sich zur Verwendung sicherer Sprach-, Video und Textkommunikation. Sie sind auch angehalten, die Sicherheit ihrer Lieferanten zu überprüfen.
Welche finanziellen Belastungen kommen auf die Unternehmen zu?
Das sei von der Größe des Unternehmens abhängig und auch davon, wo es bei der Cybersicherheit stehe, sagt Nimmerrichter. Manche sind bereits gut aufgestellt, andere haben viel Aufholbedarf. Für einen kleinen Maschinenbauer mit 60 Angestellten rechnet der Experte mit Mehrkosten zwischen 5.000 und 50.000 Euro. Je nachdem wie viel Beratungsleistung zugekauft werde.
Werden die Unternehmen finanziell unterstützt?
Die Forschungsförderungsgesellschaft FFG unterstützt Unternehmen mit maximal 10.000 Euro und maximal 40 Prozent der Gesamtkosten. Der Cyber Security Scheck kann allerdings nur noch bis kommenden Montag, den 15. April, beantragt werden.
Mit dem Gesetz gehen auch Meldepflichten einher. Wann müssen Cyberangriffe gemeldet werden?
Erhebliche Vorfälle sind unverzüglich, spätestens aber innerhalb von 24 Stunden nachdem sie bekannt wurden, dem zuständigen Cybersecurity Incident Response Team zu melden. Das ist für die meisten Unternehmen das Computer Emergency Response Team (CERT). Für den Energiesektor ist dies das EnergyCERT, für den öffentlichen Sektor das GovCERT.
Welche Strafen drohen Firmen, die sich nicht an die Regeln halten?
Bis zu 10 Millionen Euro oder bis zu 2 Prozent des Jahresumsatzes. Das seien hohe Summen, sagt Nimmerrichter. Vergleiche man sie aber damit, welcher Schaden bei einer Cyberkrise entstehen könne, seien sie gering. Geschäftsführer haften auch persönlich, wenn ein Schaden entsteht. "Das wird einen Effekt haben", sagt der Cybersicherheitsexperte.
Wann tritt das Gesetz in Kraft?
Derzeit befindet sich das NIS2-Gesetz in Begutachtung. In Kraft treten wird es voraussichtlich am 18. Oktober. Denn bis dahin muss die EU-Richtlinie, die dem Regelwerk zugrunde liegt, national umgesetzt werden.
Kommentare