Vorletzter Stopp auf meiner Tour quer durchs Land war heute nun Osnabrück beim Deutschen IT-Security Kongress 2023! Bei der Podiumsdiskussion „NIS2 – Fluch oder Segen?“ im voll besetzten Saal ging es um die Frage, warum die Europäische Union eigentlich mehr Cybersecurity-Regulierung betreibt als je zuvor. Die Antwort ist einfach: Nicht nur die Bedrohungslage, sondern auch die Anwendungsszenarien von IT haben sich seit NIS-1 in 2016 erheblich geändert. Systematisch ist unser europäisches und nationales Cybersicherheitsrecht auf den Kritischen Infrastrukturen gewachsen, die in der Umsetzung von NIS-1, IT-SiG und IT-SiG 2.0 in den vergangenen Jahren gute Best Practices entwickeln konnten. Diese Aufgabe steht denjenigen Unternehmen, die nun neuerdings durch NIS-2 betroffen sein werden, noch bevor, denn es gibt bislang keinen rechtlich definierten, allgemeingültigen und verlässlichen „Stand der Technik“ für die vielen höchst unterschiedlichen mittelständischen Unternehmen, die ab Mitte Oktober 2024 von den neuen Regelungen betroffen sein werden. Aber keine Sorge: Selbst das Bundesinnenministerium hat (öffentlich!) festgestellt, dass nicht vom einen auf den anderen Tag Bußgelder nach dem Gießkannenprinzip durch das BSI verteilt werden. Auch sollte man die Rolle des BSI nicht nur als Bußgeldstelle sehen, denn es berät auch Unternehmen bei der Umsetzung der gesetzlichen Vorgaben und gibt wertvolle Hinweise. Trotzdem schadet es nicht, schon jetzt 1. die Betroffenheit festzustellen (erste Anhaltspunkte gibt unser kostenloser NIS2 Quick Check https://nis2-check.de/) und 2. im Falle der Betroffenheit erste Umsetzungsmaßnahmen zu ergreifen, denn im Oktober 2024 wird es mit den Kapazitäten von Cybersecurity-Beratern sicher nicht besser werden, wenn erst einmal alle über NIS-2 berichten – vergleiche dazu auch das Wirksamwerden der DS-GVO in Mai 2018.
#cybersecurity #compliance #nis2 #denniskenjikipker #bremen #osnabrück #kongress #panel #podiumsdiskussion #techtalk