EU sollte ganzheitlichen und risikobasierten Cybersicherheitsansatz verfolgen
„Die EU sollte einen ganzheitlichen und risikobasierten Cybersicherheitsansatz verfolgen, um die digitale Transformation Europas erfolgreich voranzutreiben. Die Politik muss Unternehmen in die Lage versetzen, sich im Falle von Cyberattacken auf die Schadensbegrenzung zu konzentrieren, anstatt sie mit kleinteiligen Meldepflichten und Bürokratie zu überfordern.
Die Politik darf Unternehmen nicht unter einen Generalverdacht stellen. Bußgelder sollten auf Cyberkriminelle abzielen und nicht primär auf Unternehmen, die vermeintlich unvollständig die geforderten Cybersicherheitsmaßnahmen umgesetzt haben.
Risikobasierte Cybersicherheitsmaßnahmen müssen zum Selbstverständnis eines jeden Unternehmens und der öffentlichen Verwaltung gehören. Nur ein angemessen hohes Cybersicherheitsniveau gewährleistet den Schutz von Know-how, sensiblen persönlichen und industriellen Daten sowie unterbrechungsfreie Geschäftsprozesse. Ein Ausschluss der öffentlichen Verwaltung aus dem Geltungsbereich der europäischen NIS-2-Richtlinie wäre aufgrund der schwerwiegenden Folgen eines Cyberangriffs für Bürgerinnen und Bürger sowie Unternehmen gefährlich. Der Staat sollte endlich seine Vorbildfunktion bei der Stärkung der Cyberresilienz einnehmen und seinen Beitrag zur europäischen Souveränität leisten.
Kleine und mittelständische Unternehmen dürfen nicht unter die weitreichenden NIS-2-Cybersicherheitsmaßnahmen fallen. Die EU-Mitgliedsstaaten sollten insbesondere KMUs unbürokratisch Handreichungen zur Stärkung ihrer Cyberresilienz anbieten, wie etwa Informationen zu aktuellen Cyberbedrohungen oder zu sicheren IT-Lösungen. Dritten sollte es nicht erlaubt sein, bei cybersicherheitsrelevantem Fehlverhalten ein temporäres Verbot gegen die Geschäftsführung eines Unternehmens zu verhängen – dies muss die Entscheidung des jeweiligen Unternehmens bleiben.“