IT-Sicherheit ist zentraler Wirtschaftsfaktor

Die Digitalisierung unserer Wirtschaft und Gesellschaft, die völlig neue Organisation und Steuerung von Prozessen in der Industrie 4.0 und die Vernetzung von öffentlicher Verwaltung bringen eine Vielzahl von Möglichkeiten und Chancen. Gleichzeitig steigt dadurch die Abhängigkeit der Unternehmen untereinander und gegenüber IT-Anbietern - oft von außerhalb Europas. Auch das Risiko, dass große Schäden durch beabsichtigte oder unbeabsichtigte Fehlfunktionen und Manipulationen von sensiblen Daten entstehen, nimmt dadurch stetig zu. Denn zunehmende Digitalisierung bedeutet auch eine größere Angriffsfläche für Cyberkriminelle. Deutsche Mittelständler verfügen häufig über wertvolles Know-how, das das Interesse von Cyberkriminellen weckt. Sie sollten sich deshalb adäquat vor den Bedrohungen der digitalen Welt schützen.

206 Mrd. Euro Schaden sind der deutschen Wirtschaft in 2022 durch Diebstahl von Daten, Informationstechnik, Spionage oder Sabotage entstanden. Dies hat der Digitalverband Bitkom im August 2023 nach einer repräsentativen Umfrage berichtet. Damit lag der Schaden in 2022 zwar etwas niedriger als in 2021 mit 223 Mrd. Euro. Das Schadensniveau bleibt aber hoch und die durch Angriffe verursachten Schäden haben in den letzten Jahren insgesamt erheblich zugenommen. In den Jahren 2018/2019 waren es erst 103 Mrd. Euro. Fast drei Viertel der Schäden gehen inzwischen auf digitale Angriffe zurück, während analoge Angriffe auf Daten und Informationstechnik weiter abnehmen. Die Cyberbedrohungslage in Deutschland und für die deutsche Wirtschaft ist unverändert hoch und dürfte absehbar auf hohem Niveau verbleiben oder sogar weiter zunehmen.

Die NIS2 – Richtlinie und das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Das sich derzeit in der Ressortabstimmung befindende NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) soll vor allem die europäische Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Europäischen Union (NIS2-Richtlinie) in nationales Recht überführen. Dadurch werden in bestimmten Branchen für zahlreiche Unternehmen, insbesondere mittlerer Größe mit mehr als 50 Beschäftigten, häufig erstmals verbindliche Anforderungen an die betriebliche Cybersicherheit gestellt. Neben technischen und organisatorischen Maßnahmen müssen die von diesem Gesetz erfassten Unternehmen u.a. auch Berichtspflichten im Falle eines Cybersicherheitsvorfalls erfüllen. Werden diese Pflichten nicht erfüllt, drohen Sanktionen. Die Mitgliedsstaaten müssen die NIS2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Die nationalen Umsetzungsvorschriften müssen sie dann ab dem 18. Oktober 2024 anwenden.