„Betroffen oder nicht?“ Marius Wiersch erklärt, wie Unternehmen NIS-2 richtig einordnen.

Shownotes

Shownotes:

Weiterführende Infos zum Thema NIS-2 (mit Vortragsvideos)

Unser NIS-2-Kompass zeigt, ob und wie Sie aktiv werden müssen

Weiterführende Infos zum Thema DORA

Transkript anzeigen

00:00:00: Man kann halt nicht nur sozusagen von einem Sektor betroffen sein, man kann auch von mehreren Sektoren betroffen sein.

00:00:06: Wir haben ja aus der Erfahrung und der Beratung durchaus dann schon den einen oder anderen Fall gehabt,

00:00:10: wo wir gesagt haben, wir sind uns da halt unsicher, wir schwanken zwischen diesen beiden.

00:00:14: Dann macht man eine juristische Prüfung und da kommt raus ja nicht nur die beiden, den dritten auch noch.

00:00:24: HiWay, dein Wegweiser für Digitalisierung und Sicherheit, präsentiert von HiSolutions.

00:00:31: Hi und herzlich willkommen zu einer neuen Folge von HiWay, dem Podcast von HiSolutions.

00:00:40: Mein Name ist Valerie und heute beschäftigen wir uns mit dem Thema NIS-2.

00:00:45: Wie in jeder Folge habe ich dafür auch einen Experten an meiner Seite und das ist heute Marius.

00:00:51: Marius ist Senior Manager und beschäftigt sich in seinem Geschäftsbereich Cyber Regulations.

00:00:57: Wie der Name schon vermuten lässt, mit EU-Regulationen schwerpunktmäßig und vor allem auch mit der Umsetzung ins deutsche Gesetz.

00:01:03: NIS-2 ist ja jetzt schon länger von der EU herausgebracht worden und auch schon in Kraft getreten,

00:01:11: aber muss ja noch mal umgesetzt werden in das deutsche Gesetz.

00:01:15: Da war ja die Hoffnung, dass es im März kommt, vielleicht passiert das auch noch,

00:01:20: aber eher war die Meinung eurer Abteilung, dass es im November kommt.

00:01:25: Nichtsdestotrotz, das ist ein wichtiges Thema und wir beschäftigen uns heute damit auf jeden Fall.

00:01:30: Deswegen würde ich dir direkt die erste Frage stellen.

00:01:33: Frage 1: Wie stelle ich denn fest, ob ich überhaupt von NIS-2 als Unternehmen betroffen bin?

00:01:39: Ja, das ist eine sehr gute Frage.

00:01:42: Also erstmal nochmal gerne, also sozusagen alles, was wir machen, was wir sozusagen jetzt besprechen,

00:01:48: ist auch Basis der aktuellen Geschichte, also die aktuellen Gesetze, die wir halt haben.

00:01:52: Dann müssen wir einfach mal schauen, wie das auch in Zukunft halt noch so werden wird.

00:01:56: Aber grundsätzlich, was auf jeden Fall gleich bleiben wird, ist, dass Kleinst- und Kleinunternehmen aufatmen können,

00:02:03: die sind davon nicht betroffen. Also die sind halt bewusst ausgeschlossen.

00:02:07: Das ist erstmal eine sehr gute Nachricht, denn zwar sollen die natürlich auch um Sicherheit kümmern, aber naja.

00:02:15: Damit man aber sagen, wer ist denn halt betroffen, es gibt die EU als eine „size-cap-Regel" rausgebracht,

00:02:23: die halt ganz klar festlegt mit sozusagen der Mitarbeiterzahl, den Umsatz und auch dann zusätzlich den Anlagen, wo benannt ist,

00:02:32: welche Bereiche gehören dazu, welche Sektoren gibt es.

00:02:36: Sozusagen, wenn man halt benannt ist und sozusagen reißt diese Schwellen, die da benannt ist, gehört man halt dazu.

00:02:42: Das ist mal so ganz einfach.

00:02:44: Ist ganz nett. Die EU hat da nämlich sehr viel gelernt.

00:02:48: Bei der ersten NIS-2 Directive, die damals rausgebracht worden ist, haben sie jetzt nämlich nicht gemacht,

00:02:54: diese size-cap-Regelung, was dann dazu geführt hatte, dass man dann in Deutschland hat man halt dann sich seine eigene Regel gemacht.

00:03:00: Frankreich hat sich seine eigenen Regeln gemacht.

00:03:03: Und so konnte es dann sein, dass dann zwei Unternehmen dann nur von der Ländergrenze getrennt,

00:03:08: sozusagen das eine fällt drunter, das andere nicht.

00:03:10: Das ist ja letzten Endes auch irgendwo Verzerrung des Wettbewerbs vielleicht auch.

00:03:13: Und das ist natürlich keine so gute Wahl ist.

00:03:16: Und deswegen haben sich gedacht, machen wir das jetzt mal in der Hoffnung, das alles ein bisschen besser zu regulieren.

00:03:22: Grundsätzlich ist es aber so, dass es nicht immer ganz so einfach ist.

00:03:27: Zwar sind die halt benannt und es gibt halt auch dann in den Anlagen,

00:03:32: steht auch relativ genau, was da halt auch alles da ist.

00:03:34: Aber wie es halt so häufig so ist in solchen Regelungen,

00:03:37: man geht dann doch mal halt auch wieder weg und referenziert auf eine andere EU-Norm.

00:03:43: Und wenn man halt nicht genau weiß, ob man halt betroffen ist,

00:03:49: ist halt unsere Empfehlung, wir arbeiten da auch mit einem Partner zusammen,

00:03:54: Anwaltskanzlei, die darauf auf dieses EU-Richt spezialisiert ist,

00:03:59: wo wir sagen, macht lieber mal eine juristische Prüfung.

00:04:02: Allein ist es halt für euer Wohl aus dem einfachen Grund.

00:04:07: Man kann halt von einem Sektor betroffen sein, man kann auch halt von mehreren Sektoren betroffen sein.

00:04:13: Wir haben aus der Erfahrung und der Beratung durchaus dann schon mal in einem oder anderen Fall gehabt,

00:04:17: wir haben gesagt, wir sind uns da halt unsicher, wir schwanken zwischen diesen beiden,

00:04:21: da machen wir eine juristische Prüfung und da kommt raus ja nicht nur die beiden, den dritten auch noch.

00:04:26: Und das ist immer gut zu wissen.

00:04:30: Frage 2.

00:04:32: Du hast ja jetzt die Sektoren auch schon angesprochen. Welche Sektoren sind denn betroffen und welche nicht?

00:04:38: Kann man da schon was sagen?

00:04:40: Das kann man sagen, dass es tatsächlich in der EU-Verordnung auch schon halt festgelegt.

00:04:44: In den Anlagen ist das halt festgeschrieben, die sind alle aufgelistet,

00:04:48: welche man da halt alle machen, wer halt betroffen ist.

00:04:52: Das ist erstmal nicht so viel Überraschung,

00:04:55: Hier in Deutschland haben wir schon seit langem mit dem IT-Sicherheitsgesetz Sektoren

00:04:59: ja schon definiert, die wir jetzt auch wieder mit dabei sind, sage ich mal. Also endlich

00:05:05: bei der Hit-Parade, war schon fünfmal dabei, du fliegst halt nicht raus, dann bleibst einfach

00:05:08: weiter drin. Nur mit dem Unterschied, dass jetzt die Schwellwerte halt für die Sektoren,

00:05:12: die früher kritische, sozusagen kritische Infrastruktur waren, werden jetzt in das

00:05:18: NIS-2-Sprech besonders wichtige Einrichtungen und die werden, darunter fallen es aber noch

00:05:24: halt wesentlich mehr. Und das heißt, dass man halt dann immer die, diese Schwellwerte

00:05:29: dann halt im Blick haben muss, wenn man halt vorher knapp davor war, kritische Infrastruktur

00:05:33: zu sein und war es dann halt nicht, dann sollte man noch im Blick reinwerfen, denn mit den

00:05:39: anderen Schwellwerten kann es halt sehr schnell halt kommen. Und da ist grundsätzlich auch

00:05:44: immer die Empfehlung, wenn man halt sozusagen halt dann auf der Kippe ist, auch mal so

00:05:48: und sagt man ist jetzt noch nicht da drunter, dass man irgendwie schon so ein

00:05:51: Regelprozess macht, sozusagen jedes Jahr gucken wir mal so zum Stichtag, gucken wir

00:05:57: dann halt mal nochmal hin, wie jetzt die aktuellen Werte sind, denn es kann durchaus mal sein, dass

00:06:01: man dann über die Jahre und Wachsen und Erfolg haben ist ja ein Credo für viele Unternehmen,

00:06:07: kann ich nachvollziehen, aber dann wächst man tatsächlich dann schon mal hoch

00:06:12: und dann auch sozusagen ins nächste Level der Regulation.

00:06:15: Frage 3: Das heißt, es fallen jetzt schon sehr viele Unternehmen bzw. Sektoren darunter, aber

00:06:23: gibt es auch Ausnahmen von der Regel?

00:06:24: Natürlich. Und natürlich ist es auch nicht so übersichtlich. Also durch dieses habe ich

00:06:30: jetzt schon angesprochen, man verweist ja gerne noch auf andere EU-Richtlinien. Und wenn man dieser

00:06:35: Spur folgt, also es steht dann halt drin, sozusagen diese Einrichtung fällt jetzt eigentlich

00:06:39: halt unter NIS-2, dann siehe aber halt hier EU-Verordnung, Schrägstrich haste nicht gesehen,

00:06:44: gehst halt mal weiter und dann die verweist wieder auf die nächste und dann muss man mal

00:06:48: gucken, in diesem Verordnung gibt es ja noch mal Ausnahmeregelung und verweisen die im

00:06:52: Prinzip auf Ausnahmeregelung. Oder was wir auch schon hatten, das war halt besonders super,

00:06:56: sie verweisen auf andere EU-Richtlinien, aber dann steht da gar nichts mehr dazu. Das heißt,

00:07:00: man hat so richtig eine Sackgasse, weil dann hat irgendjemand EU-Bürokrat Nr. 23 halt

00:07:05: vielleicht dann nicht aufgepasst hat. Oder es kommt vielleicht noch, mag ja auch noch

00:07:08: sein. Aber ansonsten grob gefasst gibt es daneben auch Ausnahmen, wo man sagt es

00:07:15: sind kleinere Unternehmen, die fallen aber trotzdem darunter. Und das sind zum Beispiel

00:07:21: Top-Level-Main, also hier Vertrauensdienste, DNS-Anbieter, Top-Level-Domain-Name Registries,

00:07:30: etc. oder auch Anbieter von Telekommunikationen, also von öffentlichen Telekommunikationsnetzen,

00:07:37: die müssen die Werte gar nicht reißen, die sind halt so essentiell in unserer Welt,

00:07:42: die hochtechnisierten Welt, wie wir sie jetzt einfach haben und die fallen halt schon mit da drunter.

00:07:48: Auf der anderen Seite gibt es auch eine schöne Ausnahme, wenn man auch ein großes Unternehmen

00:07:55: ist, also theoretisch unter NIS-2 fallen würde, aber wenn dann plötzlich was anderes

00:07:59: greift. Und so ist es bei den ganzen Finanzunternehmen, Banken, Versicherungen, die alle von

00:08:05: der BAFN reguliert werden, die haben nicht NIS-2, sondern die haben DORA gezogen. DORA

00:08:11: ist sozusagen die NIS-2 auf Speed ein wenig sage ich mal, warum man sich halt aktuell

00:08:16: noch bei NIS-2 immer noch mal schaut, was wie erfülle ich jetzt eigentlich so die Anforderung,

00:08:21: was muss ich halt machen? Bei DORA durch die ganze Historie von BAIT, MaRisk etc.,

00:08:29: die jetzt alles mit ablöst, gibt es wesentlich ganz genaue Anforderungen, die kennen ganz

00:08:34: genau ihre Pappenheimer, die haben ja auch schon im Finanzsektor ja durchaus schon einige Jahrzehnte

00:08:40: Mehrerfahrung mit Regulation und das merkt man halt im Reifegrad, deswegen ist DORA,

00:08:45: sozusagen die großen Banken, fallen nicht unter NIS-2, aber haben Spaß mit DORA. Das sind ja

00:08:51: ganz schön viele Punkte, die man beachten muss, um feststellen zu können, ob man davon betroffen

00:08:56: ist und ich weiß, dass ihr da bei euch im Bereich auch was entwickelt habt, damit's den Kunden leichter

00:09:01: fällt, nämlich den NIS-2-Kompass. Und da können Sie sich gerne auch mal durchklicken,

00:09:06: den verlinken wir auch hier unter der Folge, um dann sicherzustellen, dass Sie das auch richtig

00:09:11: gemacht haben oder wenn Sie sich doch nicht sicher sind, können Sie gerne auch Marius und

00:09:15: seine Kollegen kontaktieren und sich beraten lassen und genau dann bedanke ich mich fürs Zuhören,

00:09:21: ich bedanke mich bei dir Marius, dass du heute hier warst und wünsche Ihnen noch einen schönen Tag

00:09:27: und sage tschüss und bis zum nächsten Mal. Danke, dir Valerie.

00:09:31: HiWay, der Wegweiser für Digitalisierung und Sicherheit, präsentiert von HiSolutions.

00:09:38: Hat ihr diese Episode gefallen? Dann abonniere den Podcast und empfehle unsere Folgen weiter.

00:09:44:

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.