NIS-2 entschlüsselt

00:00:00: Man kann halt nicht nur sozusagen von einem Sektor betroffen sein, man kann auch von mehreren Sektoren betroffen sein.

00:00:06: Wir haben ja aus der Erfahrung und der Beratung durchaus dann schon den einen oder anderen Fall gehabt,

00:00:10: wo wir gesagt haben, wir sind uns da halt unsicher, wir schwanken zwischen diesen beiden.

00:00:14: Dann macht man eine juristische Prüfung und da kommt raus ja nicht nur die beiden, den dritten auch noch.

00:00:24: HiWay, dein Wegweiser für Digitalisierung und Sicherheit, präsentiert von HiSolutions.

00:00:31: Hi und herzlich willkommen zu einer neuen Folge von HiWay, dem Podcast von HiSolutions.

00:00:40: Mein Name ist Valerie und heute beschäftigen wir uns mit dem Thema NIS-2.

00:00:45: Wie in jeder Folge habe ich dafür auch einen Experten an meiner Seite und das ist heute Marius.

00:00:51: Marius ist Senior Manager und beschäftigt sich in seinem Geschäftsbereich Cyber Regulations.

00:00:57: Wie der Name schon vermuten lässt, mit EU-Regulationen schwerpunktmäßig und vor allem auch mit der Umsetzung ins deutsche Gesetz.

00:01:03: NIS-2 ist ja jetzt schon länger von der EU herausgebracht worden und auch schon in Kraft getreten,

00:01:11: aber muss ja noch mal umgesetzt werden in das deutsche Gesetz.

00:01:15: Da war ja die Hoffnung, dass es im März kommt, vielleicht passiert das auch noch,

00:01:20: aber eher war die Meinung eurer Abteilung, dass es im November kommt.

00:01:25: Nichtsdestotrotz, das ist ein wichtiges Thema und wir beschäftigen uns heute damit auf jeden Fall.

00:01:30: Deswegen würde ich dir direkt die erste Frage stellen.

00:01:33: Frage 1: Wie stelle ich denn fest, ob ich überhaupt von NIS-2 als Unternehmen betroffen bin?

00:01:39: Ja, das ist eine sehr gute Frage.

00:01:42: Also erstmal nochmal gerne, also sozusagen alles, was wir machen, was wir sozusagen jetzt besprechen,

00:01:48: ist auch Basis der aktuellen Geschichte, also die aktuellen Gesetze, die wir halt haben.

00:01:52: Dann müssen wir einfach mal schauen, wie das auch in Zukunft halt noch so werden wird.

00:01:56: Aber grundsätzlich, was auf jeden Fall gleich bleiben wird, ist, dass Kleinst- und Kleinunternehmen aufatmen können,

00:02:03: die sind davon nicht betroffen. Also die sind halt bewusst ausgeschlossen.

00:02:07: Das ist erstmal eine sehr gute Nachricht, denn zwar sollen die natürlich auch um Sicherheit kümmern, aber naja.

00:02:15: Damit man aber sagen, wer ist denn halt betroffen, es gibt die EU als eine „size-cap-Regel" rausgebracht,

00:02:23: die halt ganz klar festlegt mit sozusagen der Mitarbeiterzahl, den Umsatz und auch dann zusätzlich den Anlagen, wo benannt ist,

00:02:32: welche Bereiche gehören dazu, welche Sektoren gibt es.

00:02:36: Sozusagen, wenn man halt benannt ist und sozusagen reißt diese Schwellen, die da benannt ist, gehört man halt dazu.

00:02:42: Das ist mal so ganz einfach.

00:02:44: Ist ganz nett. Die EU hat da nämlich sehr viel gelernt.

00:02:48: Bei der ersten NIS-2 Directive, die damals rausgebracht worden ist, haben sie jetzt nämlich nicht gemacht,

00:02:54: diese size-cap-Regelung, was dann dazu geführt hatte, dass man dann in Deutschland hat man halt dann sich seine eigene Regel gemacht.

00:03:00: Frankreich hat sich seine eigenen Regeln gemacht.

00:03:03: Und so konnte es dann sein, dass dann zwei Unternehmen dann nur von der Ländergrenze getrennt,

00:03:08: sozusagen das eine fällt drunter, das andere nicht.

00:03:10: Das ist ja letzten Endes auch irgendwo Verzerrung des Wettbewerbs vielleicht auch.

00:03:13: Und das ist natürlich keine so gute Wahl ist.

00:03:16: Und deswegen haben sich gedacht, machen wir das jetzt mal in der Hoffnung, das alles ein bisschen besser zu regulieren.

00:03:22: Grundsätzlich ist es aber so, dass es nicht immer ganz so einfach ist.

00:03:27: Zwar sind die halt benannt und es gibt halt auch dann in den Anlagen,

00:03:32: steht auch relativ genau, was da halt auch alles da ist.

00:03:34: Aber wie es halt so häufig so ist in solchen Regelungen,

00:03:37: man geht dann doch mal halt auch wieder weg und referenziert auf eine andere EU-Norm.

00:03:43: Und wenn man halt nicht genau weiß, ob man halt betroffen ist,

00:03:49: ist halt unsere Empfehlung, wir arbeiten da auch mit einem Partner zusammen,

00:03:54: Anwaltskanzlei, die darauf auf dieses EU-Richt spezialisiert ist,

00:03:59: wo wir sagen, macht lieber mal eine juristische Prüfung.

00:04:02: Allein ist es halt für euer Wohl aus dem einfachen Grund.

00:04:07: Man kann halt von einem Sektor betroffen sein, man kann auch halt von mehreren Sektoren betroffen sein.

00:04:13: Wir haben aus der Erfahrung und der Beratung durchaus dann schon mal in einem oder anderen Fall gehabt,

00:04:17: wir haben gesagt, wir sind uns da halt unsicher, wir schwanken zwischen diesen beiden,

00:04:21: da machen wir eine juristische Prüfung und da kommt raus ja nicht nur die beiden, den dritten auch noch.

00:04:26: Und das ist immer gut zu wissen.

00:04:30: Frage 2.

00:04:32: Du hast ja jetzt die Sektoren auch schon angesprochen. Welche Sektoren sind denn betroffen und welche nicht?

00:04:38: Kann man da schon was sagen?

00:04:40: Das kann man sagen, dass es tatsächlich in der EU-Verordnung auch schon halt festgelegt.

00:04:44: In den Anlagen ist das halt festgeschrieben, die sind alle aufgelistet,

00:04:48: welche man da halt alle machen, wer halt betroffen ist.

00:04:52: Das ist erstmal nicht so viel Überraschung,

00:04:55: Hier in Deutschland haben wir schon seit langem mit dem IT-Sicherheitsgesetz Sektoren

00:04:59: ja schon definiert, die wir jetzt auch wieder mit dabei sind, sage ich mal. Also endlich

00:05:05: bei der Hit-Parade, war schon fünfmal dabei, du fliegst halt nicht raus, dann bleibst einfach

00:05:08: weiter drin. Nur mit dem Unterschied, dass jetzt die Schwellwerte halt für die Sektoren,

00:05:12: die früher kritische, sozusagen kritische Infrastruktur waren, werden jetzt in das

00:05:18: NIS-2-Sprech besonders wichtige Einrichtungen und die werden, darunter fallen es aber noch

00:05:24: halt wesentlich mehr. Und das heißt, dass man halt dann immer die, diese Schwellwerte

00:05:29: dann halt im Blick haben muss, wenn man halt vorher knapp davor war, kritische Infrastruktur

00:05:33: zu sein und war es dann halt nicht, dann sollte man noch im Blick reinwerfen, denn mit den

00:05:39: anderen Schwellwerten kann es halt sehr schnell halt kommen. Und da ist grundsätzlich auch

00:05:44: immer die Empfehlung, wenn man halt sozusagen halt dann auf der Kippe ist, auch mal so

00:05:48: und sagt man ist jetzt noch nicht da drunter, dass man irgendwie schon so ein

00:05:51: Regelprozess macht, sozusagen jedes Jahr gucken wir mal so zum Stichtag, gucken wir

00:05:57: dann halt mal nochmal hin, wie jetzt die aktuellen Werte sind, denn es kann durchaus mal sein, dass

00:06:01: man dann über die Jahre und Wachsen und Erfolg haben ist ja ein Credo für viele Unternehmen,

00:06:07: kann ich nachvollziehen, aber dann wächst man tatsächlich dann schon mal hoch

00:06:12: und dann auch sozusagen ins nächste Level der Regulation.

00:06:15: Frage 3: Das heißt, es fallen jetzt schon sehr viele Unternehmen bzw. Sektoren darunter, aber

00:06:23: gibt es auch Ausnahmen von der Regel?

00:06:24: Natürlich. Und natürlich ist es auch nicht so übersichtlich. Also durch dieses habe ich

00:06:30: jetzt schon angesprochen, man verweist ja gerne noch auf andere EU-Richtlinien. Und wenn man dieser

00:06:35: Spur folgt, also es steht dann halt drin, sozusagen diese Einrichtung fällt jetzt eigentlich

00:06:39: halt unter NIS-2, dann siehe aber halt hier EU-Verordnung, Schrägstrich haste nicht gesehen,

00:06:44: gehst halt mal weiter und dann die verweist wieder auf die nächste und dann muss man mal

00:06:48: gucken, in diesem Verordnung gibt es ja noch mal Ausnahmeregelung und verweisen die im

00:06:52: Prinzip auf Ausnahmeregelung. Oder was wir auch schon hatten, das war halt besonders super,

00:06:56: sie verweisen auf andere EU-Richtlinien, aber dann steht da gar nichts mehr dazu. Das heißt,

00:07:00: man hat so richtig eine Sackgasse, weil dann hat irgendjemand EU-Bürokrat Nr. 23 halt

00:07:05: vielleicht dann nicht aufgepasst hat. Oder es kommt vielleicht noch, mag ja auch noch

00:07:08: sein. Aber ansonsten grob gefasst gibt es daneben auch Ausnahmen, wo man sagt es

00:07:15: sind kleinere Unternehmen, die fallen aber trotzdem darunter. Und das sind zum Beispiel

00:07:21: Top-Level-Main, also hier Vertrauensdienste, DNS-Anbieter, Top-Level-Domain-Name Registries,

00:07:30: etc. oder auch Anbieter von Telekommunikationen, also von öffentlichen Telekommunikationsnetzen,

00:07:37: die müssen die Werte gar nicht reißen, die sind halt so essentiell in unserer Welt,

00:07:42: die hochtechnisierten Welt, wie wir sie jetzt einfach haben und die fallen halt schon mit da drunter.

00:07:48: Auf der anderen Seite gibt es auch eine schöne Ausnahme, wenn man auch ein großes Unternehmen

00:07:55: ist, also theoretisch unter NIS-2 fallen würde, aber wenn dann plötzlich was anderes

00:07:59: greift. Und so ist es bei den ganzen Finanzunternehmen, Banken, Versicherungen, die alle von

00:08:05: der BAFN reguliert werden, die haben nicht NIS-2, sondern die haben DORA gezogen. DORA

00:08:11: ist sozusagen die NIS-2 auf Speed ein wenig sage ich mal, warum man sich halt aktuell

00:08:16: noch bei NIS-2 immer noch mal schaut, was wie erfülle ich jetzt eigentlich so die Anforderung,

00:08:21: was muss ich halt machen? Bei DORA durch die ganze Historie von BAIT, MaRisk etc.,

00:08:29: die jetzt alles mit ablöst, gibt es wesentlich ganz genaue Anforderungen, die kennen ganz

00:08:34: genau ihre Pappenheimer, die haben ja auch schon im Finanzsektor ja durchaus schon einige Jahrzehnte

00:08:40: Mehrerfahrung mit Regulation und das merkt man halt im Reifegrad, deswegen ist DORA,

00:08:45: sozusagen die großen Banken, fallen nicht unter NIS-2, aber haben Spaß mit DORA. Das sind ja

00:08:51: ganz schön viele Punkte, die man beachten muss, um feststellen zu können, ob man davon betroffen

00:08:56: ist und ich weiß, dass ihr da bei euch im Bereich auch was entwickelt habt, damit's den Kunden leichter

00:09:01: fällt, nämlich den NIS-2-Kompass. Und da können Sie sich gerne auch mal durchklicken,

00:09:06: den verlinken wir auch hier unter der Folge, um dann sicherzustellen, dass Sie das auch richtig

00:09:11: gemacht haben oder wenn Sie sich doch nicht sicher sind, können Sie gerne auch Marius und

00:09:15: seine Kollegen kontaktieren und sich beraten lassen und genau dann bedanke ich mich fürs Zuhören,

00:09:21: ich bedanke mich bei dir Marius, dass du heute hier warst und wünsche Ihnen noch einen schönen Tag

00:09:27: und sage tschüss und bis zum nächsten Mal. Danke, dir Valerie.

00:09:31: HiWay, der Wegweiser für Digitalisierung und Sicherheit, präsentiert von HiSolutions.

00:09:38: Hat ihr diese Episode gefallen? Dann abonniere den Podcast und empfehle unsere Folgen weiter.

00:09:44: