Keywords
NIS2, NISUmsuCG, ISO 27001, TISAX, Registrierung, BSI, Checkliste, Haftungsrisiko, gesunder Menschenverstand
Zusammenfassung
Klaus Kilvinger von Opexa Advisory zieht dem NIS2UmsuCG den Zahn und nimmt die Angst vor Überregulierung und Überforderung bei der Implementierung von NIS2. Er argumentiert, dass die Grundlagen in den meisten Unternehmen schon existieren und das Management des Cyberrisikos ein natürlicher Bestandteil des regulären Risikomanagements ist, für das die Geschäftsführung seit eh und je verantwortlich ist.
Kernargumente
Ganz grob sind 18 Branchen ab 50 Mitarbeitenden von der NIS2 betroffen.
Es gibt keine externe Quelle, die Unternehmen sagt, ob sie von NIS2 betroffen sind. Das müssen sie selbst herausfinden.
NIS2 ist ab sofort gültig. Es gibt keine Übergangsfrist. Betroffene Unternehmen müssen sich bis 05. März 2026 registriert haben.
Die BSI-Checkliste hilft bei der eigenen Evaluierung, aber es gibt einige Tücken, für die es Rechtsberatung braucht.
NIS2 kann von verschiedenen Unternehmen entsprechend des eigenen Risikos umgesetzt werden und ist keine “One size fits all”-Regulierung. Man sollte bei der Umsetzung mit gesundem Menschenverstand herangehen.
NIS2 ist vernünftig, denn Unternehmen haben doch auch ein Risikomanagement im kaufmännischen Bereich, einen Notfallplan in der Produktion.
Das Haftungsrisiko der Geschäftsführung ist nicht neu, sondern schon in vielen anderen Regularien inkludiert.
Wer ISO 27001 oder (im Automobilbereich) TISAX umgesetzt hat, hat die halbe Miete drin. Man muss das Rad nicht neu erfinden.
Erster Schritte: Betroffenheit prüfen. Gap-Analyse durchführen.
Neben präventiven Themen ist das Notfallmanagement entscheidender Bestandteil.
Multinationale Unternehmen mit verschiedenen Standorten in der EU können entscheiden, ob sie die Standorte einzeln betrachten oder in ihrer Gesamtheit.
Gut gesagt
Klaus Kilvinger: NIS2 ist vernünftig, weil sie risiko-adäquat ist.
Klaus Kilvinger: Wer vor Regulierung erschreckt, sollte erst mal drüber nachdenken, wovor er sich jetzt eigentlich erschreckt.
Klaus Mochalski: NIS2 ist nicht wirklich eine neue Anforderung an die Geschäftsführung. Die ist seit eh und je dazu verpflichtet, Risiken vom Geschäftsbetrieb abzuwenden.
Klaus Mochalski: Multi-Faktor-Authentifizierung ist wie der Sicherheitsgurt im Auto, einfach vernünftig.
Klaus Kilvinger: Bei der Qualifizierung für NIS2 muss die Managementebene nicht in Schnappatmung verfallen, sie müssen keine IT-Gurus werden. Das Grundlagenwissen kann man in vier Stunden erlangen.
Klaus Kilvinger: NIS2 lässt sich auf der Basis von einem bestehenden Managementsystem aufbauen. Recycling, Recycling, Recycling.
Kapitel
00:00 Vorstellung
00:45 Grundlagen zu NIS2: Wer ist betroffen? Ab wann gilt es?
04:00 Ist NIS2 Überregulierung?
07:40 Nebentätigkeit, Meldepflicht und Haftungsrisiko
09:55 Warum NIS2 vor allem gesunder Menschenverstand ist
12:30 Was ist bei der Geschäftsführungshaftung hinzugekommen?
16:30 Hilfsmittel und Schritte für Neulinge
19:10 Die Elemente von NIS2 erklärt
21:33 Die ersten zwei bis drei Schritte zur NIS2-Implementierung
24:39 Das Rad nicht neu erfinden
Weiterer Podcast mit Klaus Kilvinger: https://www.rhebo.com/de/podcasts/iso-27001-fur-ot-mehrwert-oder-overhead
