NIS-2-Richtlinie: Kommunikation ist mehr als Erfüllung der Meldepflicht an Behörden

NIS-2 betrifft rund 30.000 Unternehmen in gesellschaftlich wichtigen Geschäftsfeldern wie Energieversorgung, Gesundheitswesen, Verkehr und digitale Infrastruktur

[datensicherheit.de, 12.09.2024] SCRIVO Communications warnt in einer aktuellen Stellungnahme zum Thema NIS-2-Richtlinie, das zugrundeliegende Gesetz nur als reines IT-Thema zu betrachten – dies wäre ein „folgenschwerer Fehler“. Cyber-Angriffe und IT-Ausfälle erforderten eine umfangreiche Kommunikation – und diese müsse vorab gut vorbereitet sein. „Die neue NIS-2-Richtlinie soll ab 17. Oktober in Deutschland als Gesetz in Kraft treten. Sie verschärft die Mindestanforderungen an die IT-Sicherheit vieler Unternehmen. Damit sollen die Unternehmen resilienter gegen Hackerangriffe werden – und damit auch Deutschland.“ NIS-2 betreffe rund 30.000 Unternehmen in gesellschaftlich wichtigen Geschäftsfeldern wie Energieversorgung, Gesundheitswesen, Verkehr und digitale Infrastruktur.

Foto: SCRIVO Communications

Kai Oppel: Es gilt, das ganze Unternehmen zu sensibilisieren und weitreichende Auswirkungen von Cyber-Risiken auf alle Geschäftsbereiche frühzeitig zu erkennen!

Unternehmen fokussieren angesichts von NIS-2 zu stark allein auf Firewalls und IT-Pflichtenhefte

Dass Unternehmen bei NIS-2 derzeit insbesondere an Firewalls und IT-Pflichtenhefte dächten, liegt nach Erkenntnissen von SCRIVO Communications an den Begrifflichkeiten und der Verortung: „Das aktuelle BSI-Gesetz ist gut 50 Seiten lang. Das Wort ,Kommunikation’ kommt 62-mal vor. Aber: Wenn es darin um Kommunikation geht, dann fast ausschließlich um technische und strukturelle Kommunikation im Sinne von Daten- oder Informationsübermittlung im IT-Sinne.“

Kai Oppel, Gründer und Inhaber der Agentur SCRIVO Communications, moniert, dass Kommunikation im Verständnis von Krisenkommunikation mit Mitarbeitern, Kunden sowie anderen Stakeholdern und auch das Reputationsmanagement nahezu „keine Rolle“ spiele – und warnt Unternehmen davor, das vorliegende Gesetz „zu einseitig“ zu interpretieren.

NIS-2 betrifft die IT – und die Unternehmenskommunikation!

Gut einen Monat vor Inkrafttreten des Gesetzes herrsche insbesondere bei kleineren Unternehmen Verunsicherung und Unwissenheit. „Viele wissen nicht, ob sie unter die Richtlinie fallen. Zudem ist aktuell ungewiss, wie das Gesetz konkret ausgestaltet sein wird“, berichtet Oppel.

Ein zweiter Fehler sei, dass Unternehmen das Thema Cyber-Risiko als reines IT-Thema betrachteten. „Dabei ist es ebenso ein Kommunikationsthema!“ Der dritte Denkfehler sei, die Gesetzespflicht über die unternehmerische Vernunft zu stellen. „Nicht vom Gesetz betroffen zu sein bedeutet nicht, sicher vor IT-Angriffen und Auswirkungen zu sein“, so Oppel.

NIS-2-Gesetz als Weckruf verstehen – Kommunikation in Krisenphasen erfordert Vorbereitung und Übung

Das neue NIS-2-Gesetz sei ein „Weckruf für alle Unternehmen“, weil Cyber-Gefahren branchenübergreifend zugenommen hätten. Er unterstreicht: „Wer sein Geschäft bei einem IT-Angriff schützen will, muss schnell und richtig kommunizieren. Kommunikationskontrolle und Sicherheit sind machbar.“

Vorbereitung und Zeitgewinn seien dabei entscheidend, wenn es trotz IT-Vorkehrungen zu einer Cyber-Attacke oder IT-Störungen kommt. Effektive Kommunikation könne als Schutzschild fungieren – „wenn Unternehmen aus NIS-2 die richtigen Konsequenzen ziehen“. Diese ermögliche es, die Kontrolle über die Narrative zu behalten, Vertrauen zu wahren und potenzielle Reputationsschäden zu minimieren.

NIS-2-Meldepflicht beachten – und mittels vorbereiteter Sprachregelungen sowie Medienbeobachtung Schaden abwenden

Neben technischen Bestimmungen wie einer Multi-Faktor-Authentifizierung (MFA), Sicherheitsüberprüfungen und Datensicherungen sollten Unternehmen ihre kommunikative Resilienz stärken. Szenario-Analysen könnten helfen, mögliche Krisensituationen vorauszusehen. Kommunikationspläne definierten klare Abläufe und Verantwortlichkeiten. Medienbeobachtung ermögliche schnelle Reaktionen – und vorbereitete Sprachregelungen gewährleisteten eine konsistente Außenkommunikation.

Ein Beispiel sei die strenge Meldepflicht, welche ein zentrales Element der Richtlinie und des Gesetzes sei. „Das neue dreistufige Meldesystem für Cyber-Sicherheitsvorfälle bezieht sich auf die gesetzlichen Vorgaben, einen Vorfall binnen 24 Stunden an das BSI zu melden und Updates zu geben. Dass sich daraus aber Kommunikationspflichten gegenüber Kunden, Lieferanten oder anderen Stakeholdern ergeben, wird gern übersehen.“ Dabei sei die Strafe des Marktes möglicherweise viel härter als die gesetzlichen Sanktionen und Strafen von bis zu zehn Millionen Euro. Oppel erläutert: „Vertrauensverlust bei Kunden, Einbruch des Aktienkurses oder langfristige Imageschäden verstärken die finanziellen Auswirkungen eines Cyber-Vorfalls erheblich.“

NIS-2 erfordert ganzheitlichen Unternehmensansatz für eine umfassende Cyber-Resilienz-Kultur!

SCRIVO Communications fordert, das Thema NIS-2 müsse raus „aus dem IT-Silo“. Oppel betont: „NIS-2 erfordert einen ganzheitlichen Unternehmensansatz!“ Es gehe nämlich nicht nur um IT-Sicherheit, sondern um die Schaffung einer umfassenden Cyber-Resilienz-Kultur, welche technische, kommunikative und organisatorische Aspekte gleichermaßen berücksichtige.

Oppels Fazit: „Unternehmen, die Cyber- und IT-Themen ausschließlich an die IT-Abteilung delegieren, vergeben die Chance, das ganze Unternehmen zu sensibilisieren und weitreichende Auswirkungen von Cyber-Risiken auf alle Geschäftsbereiche zu erkennen.“

Weitere Informationen zum Thema:

SCRIVO Communications
Schutz durch Kommunikation

datensicherheit.de, 11.09.2024
NIS-2 wirft Schatten voraus: Stephan Heimel rät zur E-Mail-Verschlüsselung / NIS-2-Richtlinie von EU-Mitgliedsstaaten bis 17. Oktober 2024 in nationales Recht umzusetzen