NIS-2-Richtlinie: Cybersicherheitsanforderungen an Unternehmen müssen verhältnismäßig bleiben

Die NIS-2-Richtlinie erweitert den Anwendungsbereich um zusätzliche Wirtschaftsbranchen und führt neue IT-Sicherheitsanforderungen an mittlere und große Unternehmen ein. Innerhalb der nächsten 21 Monate muss die Richtlinie nun in nationales Recht der EU-Mitgliedstaaten umgesetzt werden.

SPECTARIS mahnt dabei eine verhältnismäßige Umsetzung der Anforderungen in nationales Recht an: „Besonders unsere mittelständischen Unternehmen sind von den Neuerungen und Erweiterungen durch NIS-2 betroffen. Eine Überregulierung durch zusätzliche nationale Vorgaben – über NIS-2 hinaus – würde den bereits hohen regulatorischen Druck auf den deutschen Mittelstand drastisch erhöhen. Auch wegen des anhaltenden Fachkräftemangels im IT-Bereich müssen die Anforderungen deshalb angemessen ausfallen“, appelliert Mayer.

Die Richtlinie schließt nicht aus, dass gesellschaftlich besonders relevante Klein- und Kleinstunternehmen unter die Vorgaben nationaler Gesetzgebung fallen könnten. SPECTARIS fordert daher die Bundesregierung auf, gezielte Hilfen bereitzustellen, um kleine und mittlere Unternehmen (KMU) bei der Implementierung komplexer Cybersicherheitsvorgaben nicht alleine zu lassen.

Aufgrund der Rechtslage ist die Schaffung klarer Anforderungen für ein hohes Maß an Rechtssicherheit für Unternehmen unabdingbar. Dabei ist ein harmonisiertes Vorgehen essentiell, um EU-weit einheitliche Vorgaben zu schaffen. „Nationale Sonderwege darf es nicht geben. Nur mit einem einheitlichen Anforderungslevel wird ein effektiver Rechtsrahmen und eine flächendeckende Steigerung des Cybersicherheitsniveaus in Deutschland und der Europäischen Union garantiert,“ so Mayer abschließend.