Unser Partner Jan Zajíček konzentrierte sich im Rahmen der Diskussion im Wochenblatt „Týdeník Ekonom“ über die NIS2-Richtlinie auf wesentliche Aspekte der Cybersicherheit. Er betonte, dass die richtige Einstellung der Prozesse, die Arbeitsorganisation und die Implementierung geeigneter technischer Mittel der Schlüssel zur Gewährleistung der Kontinuität der bereitgestellten Dienstleistungen seien und dass es bei der NIS2 nicht nur um Cybersicherheit, sondern um den Schutz des gesamten Kerngeschäfts des Unternehmens gehe.

Das Schlüsselziel von NIS2 ist die Stärkung der Cyber-Resilienz einzelner Mitgliedsstaaten und der im Rahmen der EU tätigen Unternehmen. Dies umfasst auch Maßnahmen zum Schutz von Lieferketten und unterstützt die Prävention und Erkennung potenzieller Cyberangriffe. Die NIS2 stellt damit ein gesetzgeberisches Instrument zur Stärkung der Cybersicherheit in Europa dar, unterstützt die Zusammenarbeit zwischen den Mitgliedstaaten und legt Wert auf zeitnahe Informationen und Kommunikation gegenüber allen Geschäftspartnern sowie gegenüber dem Staat.

Laut Jan Zajíček ist es grundlegend zu erkennen, dass Cybersicherheit nicht nur ein IT-Problem ist. „Der grundlegende Unterschied zwischen der aktuellen Regelung und der NIS2 besteht darin, dass der Schwerpunkt auf dem Schutz der Kontinuität des gesamten Business liegt. Die neue Gesetzgebung geht weg von der IT und hin zur Sicherung des Kerngeschäfts des jeweiligen Unternehmens. IT ist in diesem Zusammenhang nur ein Teilbereich“, erklärt er.

Zajíček lobte ebenfalls die bisher geleistete Arbeit der nationalen Cybersicherheitsbehörde (NÚKIB). „In tschechischen Verhältnissen habe ich noch nie ein Branchenrecht erlebt, das in allen Vorbereitungsphasen so gut kommuniziert wurde. NÚKIB unter anderem kontaktiert die von der Gesetzgebung betroffenen Unternehmen und veranstaltet Podiumsdiskussionen. Darüber hinaus hat die NÚKIB-Behörde kürzlich zehn sog. Factsheets veröffentlicht, anhand derer sich auch ein Laie einen sehr guten Überblick über die mit der NIS2 verbundenen Aufgaben machen kann.“.

Unser Partner hob außerdem die unterschiedlichen Auswirkungen von der NIS2 auf große Korporationen und mittelständische Unternehmen hervor. „Für Holdingen, in denen sich einige Unternehmen bereits im Regime höherer Verpflichtungen befinden, geht es bei der Umsetzung von NIS2 in erster Linie um Kapazitäten, nicht um fehlendes Know-how. Mittelständische Unternehmen, die den Pflichten neu unterliegen werden, müssen sich nicht nur mit fehlendem Know-how, sondern vor allem auch mit fehlenden Kapazitäten auseinandersetzen.

Eines der Hauptrisiken sieht Jan Zajíček in der Unterschätzung der Vorbereitungen zur Umsetzung von Verpflichtungen. „Ich befürchte, dass viele Unternehmen dazu neigen werden, ihre IT-Spezialisten zu Cybersicherheits- Spezialisten zu machen. Ich befürchte, dass viele Unternehmen für eine solche Strategie ein teures Lehrgeld zahlen könnten. Der Ansatz „Sie sind für die Verwaltung des Netzwerks verantwortlich, also kümmern Sie sich auch um dessen Schutz“ ist nicht nur utopisch, sondern im wahrsten Sinne des Wortes gefährlich. Es ist so, als würde man dem Bauunternehmer auch die Bauüberwachung anvertrauen. Ein normaler Mensch macht das nicht. Für mich selbst würde ich daher zu einem verantwortungsvolleren Vorgehen raten und die erhöhten Kosten für die Vorbereitung aller notwendigen Prozesse und die Implementierung technischer Mittel bereits in den Budgets einkalkulieren.“

Die NIS2-Richtlinie hat den Ehrgeiz, Unternehmen in die Rolle eines aufgeklärten Unternehmers zu führen, der nicht nur sein Hauptgeschäft, sondern auch potenzielle Cyberbedrohungen versteht, die sein Geschäft sehr schnell „kaputt machen“ können. „Die Grundlage ist die Prävention, nur dann kann man zum Wort der Erkennung und im Falle eines Vorfalls zur Reaktion kommen. Natürlich lassen sich Cyber-Angriffe nicht vollständig eliminieren, aber es lässt sich beeinflussen, wie (leicht) Angriffe erfolgreich sein können und wie tiefgreifend sie sich auf mein Unternehmen bzw. Business auswirken.“

„NIS2 ordnet im Grunde an, was ein Unternehmer normalerweise tun sollte, aber weil es ihn Geld kostet und es nicht sein Kerngeschäft ist, tut er es nicht“, schließt Jan Zajíček.

Die gesamte Debatte im Wochenblatt „Týdeník Ekonom“ finden Sie hier