Laut einer Studie des Digital-Branchenverbands Bitkom haben Cyberangriffe auf deutsche Unternehmen in den vergangenen Jahren immens zugenommen. Mit 206 Milliarden Euro übersteigt der jährliche Schaden durch Datendiebstahl, Sabotage und Spionage für die deutsche Wirtschaft nach 2021 und 2022 zum dritten Mal in Folge die 200-Milliarden-Euro-Marke. Für viele Unternehmen sind diese finanziellen Schäden häufig existenzbedrohend.

Mit der aktualisierten zweiten Fassung der Network-and-Information-Security-Richtlinie (NIS2) und dem Digital Operational Resilience Act (DORA) hat die Europäische Union nun innerhalb kürzester Zeit zwei Rechtsvorschriften erlassen, die beide ähnliche Ziele verfolgen: Stärkung der Cybersicherheit und Förderung der digitalen Resilienz von Unternehmen.

Während sich DORA als Verordnung mit unmittelbarer Geltung (ohne weitere Umsetzungsakte in den Mitgliedsstaaten) im Wesentlichen an Finanzunternehmen und sogenannte IKT-Drittanbieter richtet und von den betroffenen Unternehmen bis zum 17. Januar 2025 implementiert werden muss, bedarf es bei der NIS2 noch der Umsetzung in nationales Recht bis zum 17. Oktober 2024. In Deutschland wird dies durch ein Gesetz umgesetzt, das unter dem „klangvollen“ Namen „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ mit seinem Geltungsbereich 18 Sektoren adressiert, die für Wirtschaft und Gesellschaft von entscheidender Bedeutung sind. Hierzu zählen unter anderem Unternehmen aus den Bereichen Energie, Transport/Verkehr, Gesundheit und Raumfahrt.

Auch wenn die Anforderungen, die aus den Rechtsvorschriften resultieren, nicht identisch sind, werden viele Unternehmen dennoch zur gleichen Conclusio gelangen: Die Einführung eines umfassenden Information Security Management System (ISMS) wird in Zukunft nötig sein, um den steigenden regulatorischen Anforderungen gerecht zu werden.