Zum Inhalt
Tagesausgabe

NIS2-Gesetz: Die drohenden Bußgelder für Unternehmen

Das NIS2-Gesetz bringt für 30.000 Unternehmen drastische Bußgelder mit sich. Hier die häufigsten Mythen und die Realität hinter den neuen Vorgaben.

Julia Fischer··3 Min. Lesezeit

In den letzten Monaten hat das NIS2-Gesetz, das darauf abzielt, die Cybersicherheit in der EU zu erhöhen, zunehmend die Aufmerksamkeit von Unternehmen auf sich gezogen. Hinter diesem Gesetz steht die Absicht, die Widerstandsfähigkeit der Mitgliedsstaaten gegenüber Cyberangriffen zu stärken. Doch wie so oft gibt es zahlreiche Missverständnisse und Fehlinformationen rund um dieses Thema, die zu unnötigen Ängsten führen können.

Mythos: Das NIS2-Gesetz betrifft nur große Unternehmen.

Die Vorstellung, dass das NIS2-Gesetz lediglich große Konzerne betrifft, ist weit verbreitet, aber irreführend. In Wirklichkeit sind bis zu 30.000 Unternehmen, darunter auch kleine und mittlere Betriebe, von den Vorschriften betroffen. Die Schwelle für die Klassifizierung als "wichtiger Dienstleister" ist nicht so hoch, wie viele annehmen. Unternehmen, die damals als unwichtig eingestuft wurden, könnte es jetzt schwerer treffen, da die Anforderungen strenger werden und als "essentiell" gelten können. Warum also sollten sich nur die großen Player an die Regeln halten? Wenn eine kleine Firma in einem kritischen Sektor tätig ist, könnte sie ebenso gut ins Visier der Regulierungsbehörden geraten.

Mythos: Unternehmen werden sofort bestraft, wenn sie die Vorschriften nicht einhalten.

Das Bild von der schnappenden Falle, die Unternehmen antrifft, sobald sie einen der vielen. Anlegestellen des NIS2-Systems übersehen, ist übertrieben. In den meisten Fällen wird eine gewisse Nachsicht gewährt, um den Unternehmen Zeit zur Anpassung an die neuen Vorschriften zu geben. Strafen werden nicht aus dem Nichts verhängt. Vielmehr sind Beratungen und Fristen vorgesehen. Doch die Aussicht, mit Bußgeldern von bis zu 20 Millionen Euro konfrontiert zu werden, ist nicht gerade ein angenehmer Gedanke und kann das Unternehmensklima durchaus belasten.

Mythos: Die Bußgelder sind nur theoretisch.

Viele glauben, dass die angedrohten Bußgelder so weit hergeholt sind, dass sie nie in der Praxis angewandt werden. Das ist jedoch ein gefährlicher Irrglaube. Die Strafen für Verstöße gegen das NIS2-Gesetz sind durchaus real. Die EU ist fest entschlossen, Cyberrisiken ernst zu nehmen und wird nicht zögern, Unternehmen zur Verantwortung zu ziehen. Es ist nicht nur eine Frage der Gesetzgebung, sondern auch der Wahrnehmung und des politischen Willens. Wenn die Regulierungsbehörden feststellen, dass Unternehmen wiederholt gegen die Vorschriften verstoßen, werden sie entsprechende Maßnahmen ergreifen. Ignoranz ist hier sicher nicht die Lösung.

Mythos: Die Maßnahmen zur Cybersicherheit sind unnötig oder übertrieben.

Natürlich könnte man argumentieren, dass die Komplexität der Cybersicherheit übertrieben wird und dass viele Maßnahmen überflüssig erscheinen. Dennoch zeigen zahlreiche Angriffe und Sicherheitsvorfälle, dass Unternehmen, egal welcher Größe, immer anfälliger werden. Das NIS2-Gesetz verlangt spezifische Implementierungen und Berichterstattungen, die ein gewisses Maß an Anstrengungen erfordern. Aber wer würde den Nutzen dieser Maßnahmen wirklich in Frage stellen, wenn das eigene Unternehmen einmal Opfer eines Cyberangriffs geworden ist? Es ist nicht nur eine gesetzliche Verpflichtung, sondern eine Notwendigkeit für das Überleben im digitalen Zeitalter.

Mythos: Die Einhaltung der Vorschriften kann einfach ignoriert werden.

Der Gedanke, dass man die Vorschriften des NIS2-Gesetzes ignorieren kann, ist nicht nur naiv, sondern auch gefährlich. Ignorieren bedeutet nicht, dass diese Anforderungen nicht bestehen. Vielmehr ist die Möglichkeit, die eigenen Systeme und Daten durch einfache Ignoranz zu gefährden, eine riskante Strategie. Wenn Unternehmen nicht proaktiv handeln, finden sie sich möglicherweise in einer Situation wieder, in der sie nicht nur mit den Bußgeldern, sondern auch mit dem Verlust von Kundenvertrauen und der eigenen Reputation kämpfen müssen. Die Einhaltung der Vorschriften ist also mehr als nur eine gesetzliche Anforderung; es ist eine strategische Entscheidung.

Der Diskurs über das NIS2-Gesetz ist von Mythen und Missverständnissen geprägt, die oft mehr Schaden anrichten als die Gesetze selbst. Unternehmen sind gut beraten, sich nicht von populären, aber irreführenden Annahmen leiten zu lassen. Die Realität ist komplexer, und sich darauf angemessen einzustellen, ist der Schlüssel zum Fortbestehen in dieser neuen digitalen Landschaft.