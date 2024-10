Das neue NIS2-Gesetz, welches am 17. Oktober in Kraft tritt, gilt für rund 30.000 Unternehmen in Deutschland verpflichtend, die mehr als 50 Mitarbeiter und 10 Mio. € Jahresumsatz generieren sowie in kritischen Branchen agieren. Das Gesetz soll Firmen resilienter gegen IT-Angriffe machen und vor Hackerangriffen schützen. Laut der Agentur Scrivo Communications sollte jedoch jedes Unternehmen mit mehr als 10 Mitarbeitern das Gesetz als Ausgangspunkt nehmen, gleichzeitig mit der IT die Kommunikationsabläufe anzupassen und ebenfalls die Kommunikation bei IT-Ernstfällen auf den Prüfstand zu stellen.

„Jedes Unternehmen sollte einen NIS2-Check machen. Gerade mittelgroße Unternehmen mit 10 bis 50 Mitarbeitern, die knapp an den Anforderungen vorbeischrammen oder in einem anderen Sektor tätig sind, dürfen das Thema nicht abhaken, wenn der Check ergibt, dass sie nicht betroffen sind. Sie fallen dann zwar nicht unter das Gesetz. Vor Cyberangriffen und IT-Ausfällen gefeit sind sie dadurch jedoch nicht. Sie sollten ebenso ihre IT-Pflichten erfüllen und ihre Kommunikation für einen möglichen Ernstfall vorbereiten“, sagt Kai Oppel, Inhaber von Scrivo Communications.

Gesetzliche Meldepflicht an BSI

Lernen können Unternehmen aus den jüngsten Vorfällen um gehackte Unternehmen oder das missglückte Sicherheitsupdate und entsprechende Folgen, heißt es von Scrivo. Zusätzlich sollte Kommunikation nicht auf die gesetzlichen Vorgaben reduziert werden. Ein Beispiel ist die strenge Meldepflicht, die ein zentrales Element der Richtlinie und des Gesetzes ist. Das neue dreistufige Meldesystem für Cybersicherheitsvorfälle bezieht sich auf die gesetzlichen Vorgaben. Die Erstmeldung muss binnen 24 Stunden an das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingereicht werden. Nach 72 Stunden muss ein Update erfolgen, um den gesetzlichen Vorgaben zu entsprechen.

„Unabhängig vom Gesetz lautet die Frage nicht, ob ein Unternehmen früher oder später Opfer eines Hackerangriffs wird, sondern wann. Unternehmen müssen sich vorbereiten und die Unternehmenskommunikation von Anbeginn in den Krisenstab einbinden. Im Schadenfall können sie schnell, transparent und klar nach Innen und Außen kommunizieren”, sagt Oppel. Krisensimulationen und -trainings sollen im Ernstfall helfen, ebenso wie Krisen-Playbooks und unternehmensweite Kommunikationsrichtlinien.

Vermeidbare Kommunikationsfehler

Im Einklang mit NIS2 nennt Scrivo fünf Problemfelder in der Kommunikation, die Unternehmen im Falle möglicher Cyberangriffe beachten sollten: