Kosten & Nutzen NIS2-Umsetzungsgesetz

Kosten & Nutzen des NIS2-Umsetzungsgesetzes für betroffene Unternehmen – basierend auf Zahlen des aktuellen Referentenentwurfs

Kosten NIS2-Umsetzungsgesetz

Seit dem 24. Mai 2024 liegt ein überarbeiteter Referentenentwurf des Bundesministeriums des Innern und für Heimat für das Gesetz zur Umsetzung der NIS2-Richtlinie vor (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Der Entwurf enthält Aussagen zum erwarteten Erfüllungsaufwand für die Wirtschaft sowie dem erwarteten Nutzen – Schadensreduzierung durch weniger Cyberkriminalität. Der folgende Artikel widmet sich diesen Zahlen und der Bedeutung für das einzelne Unternehmen.

Anmerkungen zum Vorgehen der Analyse

Alle Zahlen und Abschätzungen (Stundensätze, Aufwand, Anzahl) im Text entstammen 1:1 dem Referentenentwurf. Sie werden zunächst nicht in Frage gestellt, sondern als gegeben hingenommen. Es geht mir darum, diese Zahlen transparent zu machen und direkte Schlussfolgerungen daraus abzuleiten. Es ist allerdings davon auszugehen, dass diese Zahlen an vielen Stellen nicht realistisch sind und daher lediglich als Grundlage weiterer Überlegungen verstanden werden sollten.

E-Book NIS2-Richtlinie im Überblick

Was Sie jetzt wissen müssen!

Erfahren Sie in unserem kostenlosen E-Book:

  • Wen betrifft NIS2?
  • Was müssen betroffene Unternehmen tun?
  • 3 Punkte, die Sie jetzt angehen sollten

Weniger als gedacht: Anzahl der betroffenen Unternehmen

Entsprechend dem Entwurf gibt es 444.055 Unternehmen mit mindestens 10 Beschäftigten. Betroffen von dem NIS2-Umsetzungsgesetz sind davon lediglich 17.900 „wichtige Unternehmen“ und 2.950 „besonders wichtige Unternehmen“. Alle anderen Unternehmen sind bereits heute vergleichbaren Regelungen unterworfen. Sie sind schon gut hinsichtlich Cybersicherheit aufgestellt (kein Handlungsbedarf) oder fallen nicht in die Kategorien der betroffenen Unternehmen.

Das bedeutet, dass lediglich 4,7% der Unternehmen mit mindestens 10 Mitarbeiter*innen als vom Gesetz betroffen angesehen werden. Aus Gesprächen mit Unternehmen ist meine Wahrnehmung, dass wesentlich mehr Unternehmen davon ausgehen, dass das NIS2-Umsetzungsgesetz eine wesentliche Rolle auf ihrer Agenda spielen wird. Sei es als direkt betroffenes Unternehmen oder weil sie Teil der Lieferkette sind.

Prognostizierte Kosten für betroffene Unternehmen

Insgesamt wird die Belastung der Wirtschaft mit 2,2 Mrd. € veranschlagt, von denen 2,1 Mrd. € auf die „Einführung und Anpassung digitaler Prozessabläufe“ entfallen. Wenn man das weiter aufschlüsselt, ergeben sich Kosten für ein durchschnittliches wichtiges Unternehmen von 86.900 €. Davon entfallen 81.500 € auf Aufwand und Sachkosten für die Einführung und Anpassung der Prozessabläufe und 5.300 € auf Schulung von Führungskräften und Mitarbeiter*innen. Beim Durchschnitt wird davon ausgegangen, dass 5 von 10 Führungskräften und 100 von 200 Mitarbeitenden noch geschult werden müssen. Die Kosten für die einmalige Registrierung und die Meldung von Vorfällen sind dabei zu vernachlässigen. Ich habe noch angenommen, dass das Unternehmen nicht zu den geplanten 24 Unternehmen zählt, die vom BSI jährlich von einer Sonderprüfung zur NIS2-Richtlinie betroffen sind.

Bei besonders wichtigen Unternehmen ergibt die analoge Rechnung durchschnittliche Kosten von 209.000 € aufgrund der höheren erwarteten Kosten bei den digitalen Prozessabläufen.

Erkenntnis: Personal- und Sachkosten einplanen

Für mich ist die wichtigste Erkenntnis bei der Kostenbetrachtung des NIS2-Umsetzungsgesetz, dass selbst bei wichtigen Unternehmen im Mittel von einem Personalaufwand von 138 Tagen und weiteren erheblichen Sachkosten ausgegangen wird. Dieses Personal sollte erfahren im Bereich der Informationssicherheit sein und jedem Unternehmen zur Verfügung stehen. Darüber hinaus wird mit den Budgets ausgedrückt, dass eine ganz erhebliche Erwartung an die Schulung der Führungskräfte gestellt wird. Dies sollten die Unternehmen in ihrer Planung auf jeden Fall berücksichtigen.

Was bringt’s? – Nutzen für Unternehmen

Nicht zuletzt soll auch auf den Nutzen an dieser Stelle eingegangen werden. Basierend auf Daten von Bitkom e. V. geht der Entwurf davon aus, dass die betrachteten Unternehmen im Mittel einen Schaden von 500.000 € durch Cybercrime erleiden, der mit der Umsetzung der Maßnahmen der NIS2-Richtlinie um 50%, d.h. 250.000 €, reduziert werden kann. Rückfolgernd hieße das: Wenn die Unternehmen heute im Mittel Rückstellungen von 500.000 € im Unternehmen einstellen, könnten sie demnach 50% davon auflösen, wenn sie alle Maßnahmen implementiert hätten.

Zur Bitkom-Studie Wirtschaftsschutz 2023

Fazit: Anhaltspunkte beachten, individuell budgetieren

Der aktuelle Referentenentwurf des NIS2-Umsetzungsgesetzes quantifiziert Nutzen und Kosten für die betroffenen Unternehmen auf einer Mittelwertbasis. Daraus ergeben sich erste Anhaltspunkte, wo die größten Kostenblöcke liegen könnten. Es wird mehrfach betont, dass ein risikobasierter Ansatz vertreten werden soll. Das heißt, dass sich die Maßnahmen auch nach Exposition und anderen individuellen Faktoren des Unternehmens richten müssen.

Der faktenbasierte Blick ist der erste Schritt. Doch für die Budgetierung des eigenen Unternehmens für 2025 kommt man um eine genauere und individuelle Betrachtung nicht herum.

Mehr zum Hintergrund NIS2-Richtlinie finden Sie auch in unserem Blogartikel.

Andreas Rietz; Head of Infrastructure & Platform Services

Ihr Ansprechpartner : Andreas Rietz

Aktuelle Beiträge

Aktuelle Veranstaltungen bei ORBIT

  • Online-Seminar | Multifaktor-Authentifizierung wird Pflicht für Admins in Microsoft 365

    Unternehmen stehen unter Zugzwang: Ohne Multifaktor-Authentifizierung haben Admins ab dem 15. Oktober 2024 keinen Zugriff mehr in Microsoft 365. Handeln Sie jetzt, bevor es zu spät ist.

  • Event | it-sa Nürnberg

    it-sa Nürnberg 2024 mit ORBIT – sichern Sie sich den Gutscheincode für Ihre kostenlose Eintrittskarte. Wir sehen uns am Stand 7/205!

  • Online-Seminar | Was bringt Business Central 25? | 05.11.2024

    Neues Release von Microsoft Business Central: Trends, Verbesserungen, Erweiterungen.

  • Online-Seminar | Digitalisierung im Vertrieb Maschinenbau | 04.02.2025

    Der Maschinenbau in Deutschland steht unter Druck – erfahren Sie in diesem Online-Seminar, wie Sie digitale Lösungen nutzen, um Ihre Unternehmensziele dennoch zu erreichen!