So wird NIS-2 zu Nichts-2: Chef der Berliner Sicherheitsexperten MACONIA kritisiert Abwartehaltung der Wirtschaft angesichts zunehmender Cyberbedrohungen
- Bild-Infos
- Download
So wird NIS-2 zu Nichts-2: Chef der Berliner Sicherheitsexperten MACONIA kritisiert Abwartehaltung der Wirtschaft angesichts zunehmender Cyberbedrohungen
„Deutsche Firmen haben für den Notfall wenig bis nichts in der Hand“
Die Bedrohungslage verschärft sich seit Jahren. Doch trotz der gerade erfolgten Verkündung des Gesetzes zur Umsetzung der NIS-2-Richtlinie sind deutsche Unternehmen in Sachen Cybersicherheit weiterhin schlecht bis gar nicht vorbereitet. „Viele kennen die Vorgaben gar nicht und haben auch keine Maßnahmen vorbereitet oder in Planung“, resümiert Holger Könnecke, Geschäftsführer von MACONIA, einem Berliner Unternehmen für Sicherheitsmanagement, Informationssicherheit und Cyberresilienz.
Die „Network and Information Security Directive“, kurz NIS-2, wurde im Dezember 2022 als EU-Vorschrift formuliert, um das Sicherheitsniveau in den Mitgliedstaaten der Europäischen Union vor dem Hintergrund zunehmender Cyberangriffe zu harmonisieren und zu verbessern. Die umfassende Modernisierung des Cybersicherheitsrechts ist nach langen Diskussionen im Bundestag seit dem 6. Dezember 2025 jetzt auch in Deutschland in Kraft. Das Gesetz erhöht die Anforderungen an die Cybersicherheit der Bundesverwaltung sowie bestimmter Unternehmen. Sollten diese Firmen Schutzmaßnahmen nicht vorbereiten und dokumentieren, können sie mit Sanktionen und horrenden Geldstrafen belegt werden.
Die deutsche Wirtschaft scheint die gestiegene Bedrohungslage und verschärften Anforderungen allerdings nicht ernst genug zu nehmen. Vor allem besonders wichtige betroffene Einrichtungen etwa aus der Energiewirtschaft, Verkehr, Bank- und Finanzwesen, Gesundheitswesen, Trinkwasser und Abwasser sowie aus der digitalen Infrastruktur hinken weit hinter den wünschenswerten Sicherheitsstandards her.
Ignoranz der Wirtschaft kann gefährlich und teuer werden
Für Holger Könnecke und sein Team von MACONIA, das neben Firmen auch Bundesbehörden berät und Sicherheitsmaßnahmen plant und umsetzt, ist das weitgehende Desinteresse der deutschen Wirtschaft unverständlich und potenziell gefährlich. Denn ein proaktives Risikomanagement, das den neuesten Anforderungen genügt, sollte unbedingt vorhanden sein. „Es gehört doch eigentlich zur unternehmerischen Verantwortung, die Risiken fürs eigene Geschäft zu kennen, die Wahrscheinlichkeiten eines Eintritts zu ermessen und geeignete Gegenmaßnahmen bereit zu halten. Im Notfall sollten die Pläne bereitliegen, da muss schnell und umsichtig gehandelt werden“, unterstreicht Könnecke.
Konkret heißt das: Vorbereitung ist meist der Schlüssel zum Erfolg. Wer sich erst mit dem Eintritt von sicherheitsrelevanten Szenarien Gedanken über Redundanzen, Kommunikationswege, Kompetenzträger oder Backups macht, wird Schwierigkeiten bekommen, da nicht mehr alle Systeme oder Informationen vorhanden sein könnten.
Sicherheitsexperte Könnecke rät dazu, die Sensibilität der Mitarbeitenden unbedingt zu schulen. Das Thema Awareness sollte ein etablierter Regelprozess in Unternehmen sein. Jede aktive Rolle sollte geschult und Mitarbeitende sensibilisiert werden. Angefangen vom Passwortmanagement über Weitergabe von Daten bis hin zu klaren Vorgaben: Wer darf was? Kennen alle die internen Firmenstandards und Vorgaben? „Ein angemessenes Risikomanagement stellt im Moment der Bedrohung die Handlungs- und Reaktionsfähigkeit des Unternehmens her und ist gleichzeitig so dimensioniert, dass es die Wirtschaftlichkeit nicht gefährdet.“ Was das konkret bedeutet, ist von Fall zu Fall, von Firma zu Firma unterschiedlich – jedoch in jedem Fall proaktiv etwa durch Tests und Übungen zu erproben.
Risikomanagement als wesentlicher Erfolgsfaktor
Die Kenntnis und Transparenz über die eigenen Systeme und Infrastruktur kann der Schlüssel zu gezielter Schadensbewältigung sein. Dementsprechend führt MACONIA strukturierte GAP-Analysen durch. Dazu werden Strukturen und Prozesse analysiert, Interviews geführt und Workshops mit Rolleninhabern veranstaltet. Basierend auf den Ergebnissen wird die notwendige Dokumentation erstellt und Ergänzungsprozesse zu gesicherten Kommunikationswegen etabliert. „Wir wollen, dass alle auf den realitätsnahen Worst Case vorbereitet sind, ohne schlaflose Nächte zu haben. Dies gelingt, wenn wir Transparenz der eigenen Organisation herstellen und jeder weiß, was er dann zu tun und im Idealfall auch Bewältigungssituationen bereits geübt hat“, erläutert Holger Könnecke.
Was nach seinen Worten einfach klingt, scheint für viele deutsche Unternehmen eine echte Herausforderung oder Prioritätsverschiebung zu sein. „Die meisten Firmen haben wenig bis nichts in der Hand, um bei einem plötzlichen Angriff angemessen reagieren zu können. Es scheint der Glaube vorzuherrschen, dass mir nichts passieren wird – es ging ja bisher immer gut. Und genau diese Haltung kann sehr teuer bis existenzgefährdend für Unternehmen werden“, so Könnecke, der damit nicht nur drohende Geldstrafen aufgrund von NIS-2 meint.
Hintergrund
Über NIS-2
Die „Network and Information Security Directive“, kurz NIS-2, wurde Ende 2022 als EU-Vorschrift formuliert, um das Sicherheitsniveau in den Mitgliedstaaten der Europäischen Union vor dem Hintergrund zunehmender Cyberangriffe zu harmonisieren und zu verbessern. Nach langen Diskussionen im Bundestag ist sie über ein Jahr später als geplant, am 6. Dezember 2025 nun auch in Deutschland in Kraft getreten. NIS-2 ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie von 2016 und soll ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme gewährleisten. Unternehmen, die Schutzmaßnahmen nicht vorbereiten und dokumentieren, können mit Sanktionen und Geldstrafen belegt werden.
Differenziert wird zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen, wobei insbesondere Unternehmen mit mindestens 50 Mitarbeitenden und einem Jahresumsatz von über 10 Millionen Euro unter die Richtlinie fallen, die zudem zu einem der 18 Unternehmenssektoren gehören, die der kritischen Infrastruktur zugerechnet werden. Die also eine wichtige Bedeutung für das Gemeinwesen haben, und deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische negative Ereignisse zur Folge haben könnten. Diese Unternehmen sind verpflichtet, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren.
Mehr dazu:
NIS-2 in Deutschland jetzt Gesetz: www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251205_NIS-2-Umsetzungsgesetz_in_Kraft.html
Betroffene Unternehmen: www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html
Über MACONIA
Die MACONIA GmbH mit Sitz am Kurfürstendamm in Berlin ist seit 2019 aktiver Mitgestalter der Informationssicherheit in Deutschland und stärkt die Cyberresilienz von Unternehmen, Behörden und Institutionen durch innovative und praxisnahe Sicherheitsstrategien sowie maßgeschneiderte Beratungsleistungen. MACONIA sorgt dafür, dass Betriebe, deren IT-Systeme und Mitarbeitende umfassend auf digitale, strukturelle und physische Risiken vorbereitet sind. Dabei entwickelt und optimiert MACONIA strategische Sicherheits- und Notfallkonzepte, die auch unter schwierigen Bedingungen den reibungslosen Weiterbetrieb sicherstellen und dabei auch gesetzliche Anforderungen an Sicherheit und Resilienz erfüllen. Die Mission von MACONIA ist es, dass Unternehmen, Behörden und Institutionen in einer komplexen, vernetzten Welt sicher agieren und jederzeit handlungsfähig und abwehrbereit gegenüber allen Bedrohungen sind.
Weitere Informationen und Beratung:
Whitepaper zu NIS-2 anfordern: https://maconia.de/nis2-richtlinie
Kontakt: MACONIA GmbH Holger Könnecke Kurfürstendamm 11, 10719 Berlin Telefon: +49 30 300 149 3170 E-Mail: hk@maconia.de
Weitere Presse-Informationen, Interview-Anfragen, Fotos Ronald Battistini Goldmund Kommunikation Telefon: +49 170 271 30 76 presse@goldmund-kommunikation.de