NIS-2-Richtlinie: Neue EU-Vorgaben zur Cybersicherheit (cepAdhoc)

„Unter die neuen Vorschriften fallen auch Unternehmen, die nicht systemrelevant sind, Unternehmen also, die Produkte und Dienstleistungen anbieten, die für das Funktionieren der Gesellschaft nicht absolut zentral sind. Es ist zu befürchten, dass die zuständigen Behörden in der Praxis mit der Aufsicht von etwa 160.000 Einrichtungen überfordert sind“, warnt cep-Cyberexperte Philipp Eckhardt. „Auch wenn die Richtlinie mehr Rechtssicherheit schafft und Wettbewerbsverzerrungen vorbeugt: Weniger wäre mehr, eine stärkere Priorisierung daher angezeigt gewesen“, sagt der Freiburger Wissenschaftler.

Dass künftig Risiken in der Lieferkette verstärkt berücksichtigt werden müssen, erhöht nach Ansicht von Eckhardt das Cybersicherheitsniveau in der EU. Die Verantwortung sollte jedoch nicht allein auf den Schultern der unter die Regulierung fallenden Einrichtungen liegen. Eckhardt begrüßt, dass künftig eine Vielzahl von Unternehmen Zwischenfälle nach einem geordneten Verfahren melden müssen. Solche Meldungen wurden in der Vergangenheit nicht immer abgegeben, aus Angst vieler betroffener Unternehmen, einen Imageschaden zu erleiden. „Freiwillig hat das oft nicht zufriedenstellend funktioniert. Die Meldepflicht ist auch deshalb zu begrüßen, weil sie anderen Unternehmen dabei hilft, Sicherheitslücken zu erkennen und zu schließen“, betont Eckhardt.