Unternehmen und Organisationen sind gesellschaftlich relevante Akteure, die den öffentlichen Diskurs begleiten und kommentieren dürfen und sollten. Aktuell finden solche Debatten zu Themen wie der Digitalisierung im Gesundheitswesen und in der öffentlichen Verwaltung statt. Anbieter von geeigneten Produkten, Lösungen und Dienstleistungen können sich auf verschiedenen Wegen zu Wort melden. Ein heißes Thema ist seit mehreren Jahren die NIS-2-Gesetzgebung, die in der IT-Community diskutiert wird. Sie ist aber auch für Business-Entscheider ein wichtiges Thema, schließlich übernehmen Geschäftsführer und Vorstände die Verantwortung für die Umsetzung der Richtlinie. Am Beispiel von NIS-2 werfen wir einen Blick auf die Möglichkeiten für themenzentrierte PR und Marketing.

NIS-2 – was ist das?

NIS-2 hat das Ziel, ein hohes Cybersicherheitsniveau innerhalb der EU zu schaffen. NIS steht für Netz- und Informationssystemsicherheit. Es ist eine EU-Richtlinie, die am 16.01.2023 in Kraft getreten ist und bis Oktober 2024 in den Ländern umgesetzt werden muss. Sie sieht für viele Unternehmen und Institutionen verpflichtende Sicherheitsmaßnahmen und Meldepflichten vor. In Deutschland liegt seit Juli 2023 ein Gesetzentwurf des Bundesministeriums des Innern zur Umsetzung vor, das sogenannte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG). Es soll voraussichtlich im März verabschiedet werden und im Oktober 2024 in Kraft treten.

Erweiterter Geltungsbereich

Die Richtlinie betrifft dann nicht mehr nur Kritische Infrastrukturen (KRITIS), also Organisationen oder Einrichtungen mit großer Bedeutung für das staatliche Gemeinwesen. Sie gilt auch für Unternehmen und Organisationen, die privat oder öffentlich sind, mindestens 50 Mitarbeiterinnen und Mitarbeiter oder einen Jahresumsatz und eine Jahresbilanz von mindestens zehn Millionen Euro aufweisen oder – unabhängig von ihrer Größe – für die Sicherheit der digitalen Infrastruktur oder der öffentlichen Verwaltung von Bedeutung sind.

Betroffene Branchen

Die Unternehmen und Institutionen werden 18 Sektoren zugeordnet. Dabei wird zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren unterschieden. Zur ersten Kategorie gehören die Sektoren Energie, Abwasser, Verkehr, digitale Infrastruktur, Bankwesen, Verwaltung von IKT-Diensten (Informations- und Kommunikationstechnologie), Finanzmarktinfrastrukturen, öffentliche Verwaltung, Gesundheitswesen, Raumfahrt und Trinkwasser. Zu den sonstigen kritischen Sektoren zählen Post- und Kurierdienste, Abfallwirtschaft, verarbeitendes Gewerbe und Hersteller von Waren, Anbieter digitaler Dienstleistungen, Forschung, Produktion, Herstellung und Handel mit Chemikalien sowie Produktion, Verarbeitung und Vertrieb von Nahrungsmitteln.

Persönliche Haftung

Nun stellt sich die Frage, was betroffene Unternehmen und Organisationen tun müssen. Die kurze Antwort lautet: Risikomanagementmaßnahmen für Cybersicherheit einführen. Diese werden umfassend und tiefgreifend sein und verlangen die Berichterstattung über Vorfälle, regeln Meldepflichten, Aufzeichnungen und Nachweise, technische Maßnahmen, Governance Leitungsorgane und strengere Kontrollen. Diese Umsetzungen sind wichtig, da Cyberangriffe heute zu den größten Geschäftsrisiken zählen und Geschäftsführer und Vorstände in die Verantwortung genommen werden. Sie sind für die Überwachung und Umsetzung in ihren Unternehmen verantwortlich und haften persönlich für Risiken und entstandene Schäden. Die Umsetzung der behördlichen Aufsicht wird durch Sicherheitsaudits in regelmäßigen Abständen überwacht und bei Verstößen drohen hohe Bußgelder. Die Auswirkungen des NIS-2-Umsetzungsgesetzes werden dann in weiten Teilen der deutschen Wirtschaft zu spüren sein.

Chancen für PR und Marketing

In Kenntnis der Richtlinie können sich betroffene Unternehmen und Institutionen dazu positionieren. Die Voraussetzung dafür ist, dass sie als Hersteller und Anbieter tatsächlich mit ihren Produkten, Lösungen und Dienstleistungen oder als Analysten zum Thema beitragen können.

Weiterlesen