M aßnahmen zur Stärkung der IT-Sicherheit werden Pflicht. Am 18. Oktober 2024 ist das Gesetz zur Umsetzung der NIS-2-Richtlinie der EU, das „NIS2UmsuCG“, in Kraft getreten und ersetzt die bisherige NIS-Richtlinie von 2016. Ziel ist es, die Cybersicherheit in Europa erheblich zu verbessern und die Widerstandsfähigkeit von Unternehmen gegen Cyberangriffe zu stärken. Für viele europäische Unternehmen, darunter auch zahlreiche kleine und mittlere Unternehmen (KMU), bedeutet dies, dass sie umfassende Maßnahmen zur Cyberrisiko-Minimierung und zur Einhaltung von IT-Sicherheitsstandards umsetzen müssen.
Für Vermittler in der Versicherungsbranche ist es von entscheidender Bedeutung, ihre KMU-Kunden auf diese neuen Herausforderungen aufmerksam zu machen und sie bestmöglich zu beraten. Im Vordergrund steht nicht nur die Einhaltung gesetzlicher Vorgaben, sondern vor allem die nachhaltige und effektive Abwehr von Cyberangriffen.
Was ändert sich?
Die NIS-2-Richtlinie fordert von Unternehmen, die in „wesentlichen“ und „wichtigen“ Sektoren tätig sind, strengere Sicherheitsmaßnahmen und Meldepflichten. Geschäftsführer und Vorstände von Unternehmen haften dabei persönlich für Verstöße, was den Druck auf die Einhaltung der Vorgaben erheblich erhöht. Ziel ist es, die Resilienz gegenüber Cybervorfällen in der gesamten EU zu verbessern. Die betroffenen Unternehmen müssen konkrete technische, organisatorische und operative Maßnahmen (TOM) umsetzen, um IT-Sicherheitsvorfälle zu verhindern oder ihre Auswirkungen zu minimieren.
Eine wesentliche Neuerung ist die Ausweitung der Richtlinie auf zusätzliche Sektoren wie die Abfallwirtschaft, Post- und Kurierdienste sowie Unternehmen der Ernährungs- und Chemieindustrie. Das betrifft sowohl Großunternehmen als auch zunehmend KMU, die nun ebenfalls diesen Anforderungen gerecht werden müssen, sofern sie mindestens 50 Mitarbeiter haben oder einen Jahresumsatz von mehr als zehn Millionen Euro erwirtschaften. In Deutschland sind etwa 30.000 Unternehmen von dem neuen Gesetz direkt betroffen.
Forderung: Konkrete Maßnahmen für die Cybersicherheit
Um die geforderten Sicherheitsstandards zu erreichen, stellt die EU einen Maßnahmenkatalog bereit, den Unternehmen einhalten müssen und der durch die zuständigen nationalen Behörden überwacht wird. Diese Vorgaben sind im Artikel 21 des Gesetzes festgelegt. Das Hauptziel besteht darin, IT-Risiken nachhaltig zu minimieren und die Folgen von Cyberangriffen möglichst gering zu halten. Wie diese Maßnahmen umgesetzt werden, hängt von verschiedenen Faktoren ab: dem Risikoprofil des Unternehmens, seiner Größe sowie der Wahrscheinlichkeit und dem potenziellen Schaden, den ein Sicherheitsvorfall für Wirtschaft und Gesellschaft verursachen könnte.
Konkret werden folgende Maßnahmen gefordert: Konzepte der Risikobewertung, Risikoanalyse und Informationssicherheit, Krisenmanagement und Umgang mit Sicherheitsvorfällen, die Sicherstellung des Geschäftsbetriebs durch ein Backup-Management, die Bereitstellung von Konzepten zur Zugriffssicherheit, die Bereitstellung von Konzepten zur Multi-Faktor-Authentifizierung und verschlüsselter Kommunikation sowie präventive Maßnahmen, zum Beispiel grundlegende Verfahren zur Cyberhygiene und Schulungen im Bereich der Cybersicherheit, Sicherheit des Personals.
Umsetzung der Maßnahmen für KMU
Während große Unternehmen oft spezialisierte IT- und Sicherheitsteams haben, stellt das Gesetz Kleine und Mittlere Unternehmen (KMU) vor besondere Herausforderungen: Viele kleine und mittlere Unternehmen verfügen nicht über die internen Ressourcen oder das Know-how, diese Maßnahmen eigenständig umzusetzen. Hinzu kommt, dass die Richtlinie auch Unternehmen in der Lieferkette von Großunternehmen betrifft. Das heißt: KMU werden so indirekt von der Einhaltung von Sicherheitsstandards betroffen sein, da ihre Kooperationspartner von ihnen ein vergleichbares Schutzniveau einfordern werden. Nicht zuletzt, weil Unternehmen, die die Anforderungen der NIS-2 nicht umsetzen, Bußgelder und Haftungsrisiken in Kauf nehmen.
Wie Vermittler unterstützen können
Vermittler haben eine zentrale Rolle dabei, KMU bei der Bewältigung der Herausforderungen das Gesetz zu unterstützen. Viele kleine und mittlere Unternehmen sind sich noch nicht der vollen Tragweite bewusst, die diese neue EU-Vorgabe mit sich bringt. Hier können Vermittler als fachkundige Berater auftreten und ihre Kunden über die neuen Pflichten aufklären. Eine umfassende Sensibilisierung ist entscheidend, um sicherzustellen, dass KMU rechtzeitig notwendige Maßnahmen ergreifen.
Darüber hinaus können Vermittler neben der Durchführung einer Betroffenheitsanalyse auch mit einer individuellen Risikobewertung unterstützen. Jedes KMU weist individuelle Schwachstellen und spezifische Anforderungen auf, die es gezielt zu identifizieren gilt. Auf Basis der Analyse können gemeinsam maßgeschneiderte Lösungsvorschläge erarbeitet werden – von der Auswahl passender Versicherungsprodukte, die spezifische Cyberrisiken abdecken, bis hin zu präventiven Maßnahmen, die den Schutz vor möglichen Angriffen erhöhen.
Ein wichtiger Bestandteil dieses Prozesses ist die Zusammenarbeit mit externen IT-Dienstleistern. Da viele KMU nicht über ausreichende interne IT-Ressourcen verfügen, können Vermittler bei der Auswahl geeigneter Dienstleister unterstützen, die Fachxpertise im Bereich der IT-Sicherheit aufweisen. Diese Partner helfen nicht nur bei der Implementierung der erforderlichen Sicherheitsvorkehrungen, wie z.B. von Backup-Strategien und Notfallplänen, um Ausfallzeiten im Falle eines Cybervorfalls zu minimieren, sondern sorgen auch für die kontinuierliche Überwachung und Wartung der Systeme.
Besonders wertvoll ist neben der Auswahl von IT-Sicherheitsdienstleistern der Hinweis auf dedizierte Cybersicherheitsversicherungen, die maßgeschneiderte Policen für KMU anbieten. Die Versicherungen decken nicht nur die finanziellen Schäden durch Cyberangriffe ab, sondern können auch potenzielle Haftungsrisiken der Geschäftsführung mindern. Dies ist angesichts der verschärften Haftungsregelungen der NIS-2-Richtlinie von großer Bedeutung.
Handlungsbedarf für KMU
Mit der Einführung des NIS2UmsuCG im Oktober 2024 stehen viele kleine und mittlere Unternehmen vor erheblichen neuen Anforderungen. Unternehmen, die bis dahin keine ausreichenden Cybersicherheitsmaßnahmen ergriffen haben, riskieren nicht nur Bußgelder, sondern auch schwerwiegende Haftungsrisiken für ihre Führungskräfte. Da viele KMU oft über begrenzte IT-Ressourcen verfügen, stellt die Umsetzung der Vorgaben eine große Herausforderung dar.
In dieser Situation sind Berater von zentraler Bedeutung. Sie bieten in enger Zusammenarbeit mit IT-Sicherheitsexperten gezielte Unterstützung, indem sie Unternehmen dabei helfen, die komplexen Regelungen der NIS-2-Richtlinie zu verstehen, individuelle Risikobewertungen durchzuführen und maßgeschneiderte Sicherheitsstrategien zu entwickeln.
Durch ihre Expertise ermöglichen sie es KMU, die gesetzlichen Vorgaben effizient zu erfüllen und gleichzeitig wirtschaftlich tragfähige Lösungen zu finden. Berater leisten wertvolle Hilfestellung bei der Auswahl von IT-Dienstleistern und der Inanspruchnahme von Cyberversicherungen, die sowohl Schutz vor Cyberangriffen als auch eine Reduzierung möglicher Haftungsrisiken bieten.
Die Stärkung der Cybersicherheit sollte für KMUs nun oberste Priorität haben. Die Zeit zu handeln ist jetzt. Wer die Anforderungen der NIS-2 frühzeitig umsetzt, minimiert nicht nur das Risiko von Cyberangriffen, sondern stärkt auch seine Position am Markt. Mit der Unterstützung erfahrener Berater gelingt es Unternehmen, ihre Cybersicherheitsmaßnahmen zukunftssicher zu gestalten und langfristig erfolgreich zu bleiben.
Autor David Balzer ist Business Development Manager des Cybersicherheits-/IT-Dienstleisters Perseus Technologies GmbH mit mehr als zehn Jahren Erfahrung im IT-Vertrieb, insbesondere in der strategischen Entwicklung von digitalen B2B-Geschäftsmodellen.