Auch der Zeitfaktor kann zum Problem werden. Bis Herbst 2024 muss Deutschland die gesetzlichen Regelungen zum Umgang mit der NIS-2-Richtlinie vorlegen. Die betroffenen Unternehmen haben dann bis zum Jahr 2027 Zeit, diesen nachzukommen. Es empfiehlt sich für betroffene Unternehmen, die Umsetzung nicht auf die lange Bank zu schieben, sondern sich zeitnah mit der Thematik auseinanderzusetzen. Bei Nichtbeachtung können nämlich horrende Strafen drohen: Laut einem ersten Entwurf sieht der Gesetzgeber beispielsweise Strafen von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes für Unternehmen des kritischen Sektors vor.
Abseits NIS: Cybersicherheit als Erfolgsfaktor
Doch auch für Unternehmen, die von der NIS-2-Richtlinie nicht betroffen sind, können Investitionen in die IT-Sicherheit unumgänglich werden. Laut dem amerikanischen Meinungsforschungsinstitut Gartner könnte ab 2025 das Cybersicherheitsrisiko eines Unternehmens ein ausschlaggebender Aspekt für die Aufnahme von Geschäftsbeziehungen und die Abwicklung von Transaktionen werden. Folglich müssen Unternehmen zukünftig ein bestimmtes Level an Cybersicherheit vorweisen, um Geschäftsbeziehungen aufnehmen zu können und damit wettbewerbsfähig zu bleiben. Verstärkt wird diese Entwicklung beispielsweise noch durch die Zunahme von Cyberangriffen auf Lieferketten oder die Ausnutzung von unsicheren Drittanbieter-Lösungen. Daher ist nicht nur die eigene Cybersicherheit entscheidend, sondern auch das IT-Sicherheitsniveau von direkten und indirekten Geschäftspartnern. Ist es heute noch nicht Bestandteil von Verträgen, ist kurz- oder mittelfristig damit zu rechnen, dass Unternehmen Nachweise oder Zertifizierungen als Cybersicherheit- Qualitätsmerkmal vorlegen müssen, um Geschäftsbeziehungen aufzunehmen oder weiterzuführen.
Besser heute, als morgen starten
Die gegenwärtige Situation zeigt, dass Cybersicherheit nicht mehr vernachlässigt werden darf. Vermeintliche Argumentationen, warum Cybersicherheit aktuell nicht priorisiert wird oder warum es nicht möglich ist, in die eigene IT-Sicherheit zu investieren, dürfen nicht mehr gelten. Unternehmen müssen jetzt handeln.
Besonders zu empfehlen ist eine umfassende Risikobewertung des eigenen Cybersicherheitsniveaus. Durch die Untersuchung grundlegender oder auch tiefergehender Einstellungen, Prozessen und Strukturen lässt sich ein aussagekräftiges Bild zeichnen, welches bestehende Lücken und konkrete Handlungsempfehlungen zur Schließung aufzeigt. Eine Risikobewertung stellt daher einen idealen Ausgangspunkt dar, mit der Etablierung einer Cybersicherheitskultur im Unternehmen zu beginnen.
Über Gerrit Knichwitz:
Gerrit Knichwitz ist Geschäftsführer des Cybersicherheits-/IT-Dienstleister Perseus Technologies GmbH mit mehr als 10 Jahren Erfahrung in der Finanz-/Versicherungsbranche insbesondere in der strategischen und finanziellen Steuerung von Unternehmen sowie in der Entwicklung von digitalen B2B-Geschäftsmodellen.