Kosten & Nutzen NIS2-Umsetzungsgesetz

Kosten & Nutzen des NIS2-Umsetzungsgesetzes für betroffene Unternehmen – basierend auf Zahlen des aktuellen Referentenentwurfs

Kosten NIS2-Umsetzungsgesetz

Seit dem 24. Mai 2024 liegt ein überarbeiteter Referentenentwurf des Bundesministeriums des Innern und für Heimat für das Gesetz zur Umsetzung der NIS2-Richtlinie vor (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Der Entwurf enthält Aussagen zum erwarteten Erfüllungsaufwand für die Wirtschaft sowie dem erwarteten Nutzen – Schadensreduzierung durch weniger Cyberkriminalität. Der folgende Artikel widmet sich diesen Zahlen und der Bedeutung für das einzelne Unternehmen.

Anmerkungen zum Vorgehen der Analyse

Alle Zahlen und Abschätzungen (Stundensätze, Aufwand, Anzahl) im Text entstammen 1:1 dem Referentenentwurf. Sie werden zunächst nicht in Frage gestellt, sondern als gegeben hingenommen. Es geht mir darum, diese Zahlen transparent zu machen und direkte Schlussfolgerungen daraus abzuleiten. Es ist allerdings davon auszugehen, dass diese Zahlen an vielen Stellen nicht realistisch sind und daher lediglich als Grundlage weiterer Überlegungen verstanden werden sollten.

Weniger als gedacht: Anzahl der betroffenen Unternehmen

Entsprechend dem Entwurf gibt es 444.055 Unternehmen mit mindestens 10 Beschäftigten. Betroffen von dem NIS2-Umsetzungsgesetz sind davon lediglich 17.900 „wichtige Unternehmen“ und 2.950 „besonders wichtige Unternehmen“. Alle anderen Unternehmen sind bereits heute vergleichbaren Regelungen unterworfen. Sie sind schon gut hinsichtlich Cybersicherheit aufgestellt (kein Handlungsbedarf) oder fallen nicht in die Kategorien der betroffenen Unternehmen.

Das bedeutet, dass lediglich 4,7% der Unternehmen mit mindestens 10 Mitarbeiter*innen als vom Gesetz betroffen angesehen werden. Aus Gesprächen mit Unternehmen ist meine Wahrnehmung, dass wesentlich mehr Unternehmen davon ausgehen, dass das NIS2-Umsetzungsgesetz eine wesentliche Rolle auf ihrer Agenda spielen wird. Sei es als direkt betroffenes Unternehmen oder weil sie Teil der Lieferkette sind.

Prognostizierte Kosten für betroffene Unternehmen

Insgesamt wird die Belastung der Wirtschaft mit 2,2 Mrd. € veranschlagt, von denen 2,1 Mrd. € auf die „Einführung und Anpassung digitaler Prozessabläufe“ entfallen. Wenn man das weiter aufschlüsselt, ergeben sich Kosten für ein durchschnittliches wichtiges Unternehmen von 86.900 €. Davon entfallen 81.500 € auf Aufwand und Sachkosten für die Einführung und Anpassung der Prozessabläufe und 5.300 € auf Schulung von Führungskräften und Mitarbeiter*innen. Beim Durchschnitt wird davon ausgegangen, dass 5 von 10 Führungskräften und 100 von 200 Mitarbeitenden noch geschult werden müssen. Die Kosten für die einmalige Registrierung und die Meldung von Vorfällen sind dabei zu vernachlässigen. Ich habe noch angenommen, dass das Unternehmen nicht zu den geplanten 24 Unternehmen zählt, die vom BSI jährlich von einer Sonderprüfung zur NIS2-Richtlinie betroffen sind.

Bei besonders wichtigen Unternehmen ergibt die analoge Rechnung durchschnittliche Kosten von 209.000 € aufgrund der höheren erwarteten Kosten bei den digitalen Prozessabläufen.

Erkenntnis: Personal- und Sachkosten einplanen

Für mich ist die wichtigste Erkenntnis bei der Kostenbetrachtung des NIS2-Umsetzungsgesetz, dass selbst bei wichtigen Unternehmen im Mittel von einem Personalaufwand von 138 Tagen und weiteren erheblichen Sachkosten ausgegangen wird. Dieses Personal sollte erfahren im Bereich der Informationssicherheit sein und jedem Unternehmen zur Verfügung stehen. Darüber hinaus wird mit den Budgets ausgedrückt, dass eine ganz erhebliche Erwartung an die Schulung der Führungskräfte gestellt wird. Dies sollten die Unternehmen in ihrer Planung auf jeden Fall berücksichtigen.

Was bringt’s? – Nutzen für Unternehmen

Nicht zuletzt soll auch auf den Nutzen an dieser Stelle eingegangen werden. Basierend auf Daten von Bitkom e. V. geht der Entwurf davon aus, dass die betrachteten Unternehmen im Mittel einen Schaden von 500.000 € durch Cybercrime erleiden, der mit der Umsetzung der Maßnahmen der NIS2-Richtlinie um 50%, d.h. 250.000 €, reduziert werden kann. Rückfolgernd hieße das: Wenn die Unternehmen heute im Mittel Rückstellungen von 500.000 € im Unternehmen einstellen, könnten sie demnach 50% davon auflösen, wenn sie alle Maßnahmen implementiert hätten.

Zur Bitkom-Studie Wirtschaftsschutz 2023

Fazit: Anhaltspunkte beachten, individuell budgetieren

Der aktuelle Referentenentwurf des NIS2-Umsetzungsgesetzes quantifiziert Nutzen und Kosten für die betroffenen Unternehmen auf einer Mittelwertbasis. Daraus ergeben sich erste Anhaltspunkte, wo die größten Kostenblöcke liegen könnten. Es wird mehrfach betont, dass ein risikobasierter Ansatz vertreten werden soll. Das heißt, dass sich die Maßnahmen auch nach Exposition und anderen individuellen Faktoren des Unternehmens richten müssen.

Der faktenbasierte Blick ist der erste Schritt. Doch für die Budgetierung des eigenen Unternehmens für 2025 kommt man um eine genauere und individuelle Betrachtung nicht herum.

Mehr zum Hintergrund NIS2-Richtlinie finden Sie auch in unserem Blogartikel.

Andreas Rietz; Head of Infrastructure & Platform Services

Ihr Ansprechpartner : Andreas Rietz

Aktuelle Beiträge

Aktuelle Veranstaltungen bei ORBIT

  • Online-Seminar | E-Rechnung – ab 2025 Pflicht | 11.09.2025

    Machen Sie sich fit für den Empfang und Versand von E-Rechnungen, der am 1. Januar 2025 verpflichtend geregelt sein muss. Gerne in unserem Online-Seminar zum Thema "E-Rechnung"!

  • Online-Seminar | KI im Vertrieb – das bringt‘s wirklich!

    Eins steht fest: Microsoft-KI Copilot macht Ihr bestehendes CRM-System schlauer!

  • Online-Seminar | ERP On-Premises | 24.09.2024

    Microsoft sagt: “Cloud first!” Hat ERP On-Premises eine Zukunft? Erika Siebert und Sven Oelker beantworten alle Fragen zu Lizenz-Änderungen von MS Dynamics 365 Navision/BC.