NIS2 in der Realität

von

Frühschoppen, Stehaufmännchen und Resilienz

– oder: Warum NIS2 Ihr bester Freund ist, auch wenn Sie es noch nicht wissen 

1. Vorbemerkung – in aller Ruhe

Resilienz – verstanden als die psychologische und organisationale Fähigkeit, Krisen, Rückschläge und disruptive Veränderungen nicht nur zu überstehen, sondern gestärkt aus ihnen hervorzugehen – zählt heute zu den zentralen Erfolgsfaktoren moderner Unternehmensführung. Die wissenschaftliche Literatur beschreibt sie als ein Zusammenspiel aus Optimismus, Akzeptanz, Lösungsorientierung, Verantwortungsübernahme, Netzwerkfähigkeit und strategischer Vorausschau.

Im privaten Kontext wird ein Mensch, der sich nach Rückschlägen immer wieder aufrichtet, zurecht als Vorbild wahrgenommen. Diese Haltung verdient Anerkennung. Doch die Übertragung dieses Prinzips auf unternehmerische Entscheidungsprozesse verlangt nach einer differenzierten Betrachtung – insbesondere dann, wenn die äußeren Rahmenbedingungen und regulatorischen Anforderungen an Komplexität und Tragweite zunehmen.

Genau an dieser Stelle möchte ich einladen, einen Blick über den vertrauten Horizont hinaus zu wagen. Denn am Stammtisch redet man Tacheles.

2. Der Blick hinter die Fassade

Umgangssprachlich spricht man von einem Stehaufmännchen, wenn eine Person sich immer wieder aufrichtet, als wenn nichts wäre. Beim Frühschoppen aber spricht man Tacheles. Es entspricht nicht der üblichen Netiquette, und ja, es ist auch nicht karrierefördernd, was ich hier schreibe.

Aber haben Sie noch Lust auf Wischi-Waschi?
Haben Sie nicht schon genug Ja-Sager um sich herum?

Um als Stehaufmännchen zu gelten, muss man sicherlich schon einige Male wieder aufgestanden sein. Und wenn das zutrifft, dann müsste man auch vor dem Aufstehen mit dem Arsch auf Grundeis gegangen sein.

Die Frage, die ich mir hier stelle, ist:

Wo genau liegt eigentlich der Unterschied zwischen einem resilienten Stehaufmännchen und einem schlicht unbelehrbaren Männchen?

3. Zwei Haltungen – 1 Unterschied

Der Unbelehrbare fragt: „Bin ich gesetzlich gezwungen, etwas zu tun?“ – und atmet auf, wenn die Antwort „Nein“ lautet. Er sucht die Ausnahme, um weitermachen zu können wie bisher.

Der Resiliente fragt: „Bin ich von den Bedrohungen betroffen, die NIS2 adressiert?“ – und handelt, unabhängig von der gesetzlichen Pflicht.


Wie viel Kapital ist Ihr Unternehmen wert?
Für wie viele Menschen tragen Sie Verantwortung?

Ein menschliches Stehaufmännchen – privat – bekommt im Freundes- und Familienkreis Anerkennung für seinen Kampfgeist.

Ein unternehmerisches Stehaufmännchen wird vom Markt gnadenlos nach der Qualität seines Aufstehens bewertet.
Wenn Sie nach einem Cyberangriff wieder aufstehen, aber immer noch einfache Backups, keine erprobten Notfallpläne und keine Mitarbeiterschulungen haben, dann sind Sie nicht resilient – Sie sind ein Glücksspieler, der darauf wettet, dass die nächste Ransomware-Gruppe genauso inkompetent ist wie die letzte.

4. Die große Debatte – und ihr eigentlicher Kern

Die Diskussionen um:

  • Bin ich von NIS2 betroffen?
  • Brauche ich eine Zertifizierung?
  • Für wen ist die EU-DVO 2024/2690 relevant?

sind absolut verständlich. Ich verstehe die Skepsis und die Zweifel, ja auch warum man sich überhaupt Sorgen machen sollte – vor allem, wenn man ein Stehaufmännchen ist, oder als eines gilt.

5. Die Sucht nach der Krise

Von NIS2 ‘betroffen’? Hä?
Linguistisch und psychologisch ist das Wort „betroffen“ in diesem Kontext völlig paradox.Die Intention von NIS2 ist nämlich positiv: Es soll ein Schutzschild für die europäische Wirtschaft aufgebaut werden. Nur scheinen das die wenigsten verstanden zu haben.

Wozu die Registrierung beim BSI?
Es ist nicht garantiert, dass es immer so klappen kann, aber:
WIrd eine kritische Schwachstelle bekannt, “greift” das BSI zum Telefon und klingelt ihre IT nachts um 02:30 Uhr aus dem Bett, wenn es die Situation erfordert.

Lesen Sie dazu hier:
PTC Windchill: BSI ruft Admins nachts wegen kritischer Sicherheitslücke an | heise online 

Ja, Sie sind von der Haftung betroffen.

Hier das Zitat aus Heise.de aus dem o.g. Linkinhalt.

„Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat aus vertrauenswürdigen und verlässlichen Quellen von bevorstehenden Cyberangriffen auf verwundbare Windchill-Instanzen der Firma „PTC“ erfahren. Ihr Unternehmen setzt potentiell eine solche verwundbare Windchill-Instanz ein.

Aufgrund der hohen potentiellen Gefahr einer Kompromittierung bitten wir Sie dringend um schnellstmögliche Überprüfung des Patchstands Ihrer eingesetzten Software.


Auch wenn Sie noch so ein tolles Stehaufmännchen sind –
Als Privatperson mögen Ihnen psychologisch die gleichen Zugeständnisse zustehen. Die Geschäftswelt gewährt Ihrem Unternehmen aber kein Wiedersehen, wenn blinder Resilienz-Glaube Sie in die Schieflage bringt 

Und seien wir ehrlich:
Wenn Sie das Risiko nicht korrekt einschätzen können, weil Sie weder aus aktuellen Geschehnissen noch aus Ihrem Umfeld dazu gelernt haben, dann sollten Sie vielleicht auch gar nicht mehr daran denken, nochmal aufzustehen und von neu zu beginnen.

6. Roulette

Stellen Sie sich einfach nur vor, es gibt einen Zufallsgenerator, der entscheidet:

  • welche IT als nächstes ausfällt,
  • welche Firma als nächstes umfällt,
  • wessen Datenbank mit sensiblen Daten als nächstes im Darknet angeboten wird,
  • wer erpresst wird,

und am Ende:

  • welche Stehaufmännchen das Glück haben, die dümmsten Ransomware-Gruppen zu erwischen.

Sich Gedanken um die Feststellung einer NIS2-Betroffenheit zu machen, ist gut.
Weitere und ausführlichere Gedanken sollten Sie sich aber um eine potenzielle Betroffenheit von einem Cyberangriff machen.

Es gibt wenige verlässliche Quellen über peinliche Aussetzer – noch weniger Belege darüber.

7. Worauf basiert Ihr Sicherheitsgefühl?

  • Müssen Sie von NIS2 betroffen sein, damit Sie die Prozesse, die Ihr Unternehmen am Leben halten, absichern?
  • Haben Sie die Versicherungsbedingungen und Ausschlussklauseln Ihrer Cyber-Police genau studiert?

Wissen Sie, welche Aufgaben Ihnen obliegen?
Welche Bedingungen erfüllt sein müssen, um im Schadenfall Deckung zu erlangen?

Fragen Sie dazu nicht Ihren Versicherungsberater –
der Ihnen möglicherweise einen vom Pferd erzählt und Sie ein abweichendes Beratungsprotokoll unterschreiben lässt – beim Kaffee und Kuchen.

8. Träumen Sie weiter

Sehen Sie Ihre Versicherung nicht als (sichere) Bank.
Und eine Erpressung nicht als Befreiungsschlag.

Denn: Auch mit der Zahlung eines Lösegelds ist nicht alles wieder gut. Es ist nicht gesagt, dass Daten immer wiederhergestellt werden können. Und das Geld hätten Sie auch klüger investieren können.

Ihre Reputation ist hin.
Das Vertrauen – ja, Hopfen und Malz sind dann schon verloren.

9. Schlussgedanke

Resilienz im Business bedeutet nicht: „Ich stehe immer wieder auf.“
Resilienz im Business bedeutet: „Ich sorge dafür, dass ich gar nicht erst umfalle.“
Und wenn Sie umfallen, dann sollten Sie nicht haften müssen.

Wer heute noch über NIS2 diskutiert, statt über Notfallpläne, Backups, Schulungen und Verantwortlichkeiten, hat die Zeichen der Zeit nicht verstanden.

Und der Markt? Der ist gnadenlos.
Er fragt nicht nach Ihrem Kampfgeist.
Er fragt nach Ihrer Lieferfähigkeit. Nach Ihrem Vertrauen. Nach Ihrer Existenz.

Also: Stehen Sie auf – aber diesmal anders.
Sonst bleiben Sie liegen – für immer.

Powered by
Notwendige Cookies aktivieren wesentliche Website-Funktionen wie sichere Logins und Anpassungen der Zustimmungspräferenzen. Sie speichern keine persönlichen Daten.
Keine
Funktionale Cookies unterstützen Funktionen wie das Teilen von Inhalten in sozialen Medien, das Sammeln von Feedback und die Nutzung von Drittanbieter-Tools.
Keine
Analytische Cookies verfolgen Besucherinteraktionen und liefern Einblicke in Metriken wie Besucheranzahl, Absprungrate und Verkehrsquellen.
Keine
Werbe-Cookies liefern personalisierte Anzeigen basierend auf Ihren vorherigen Besuchen und analysieren die Effektivität von Werbekampagnen.
Keine
Powered by