NIS2-Gesetz zwingt Unternehmen zum Krisencheck
2 Wochen vor Inkraftreten NIS2-Richtlinie fokussieren sich Unternehmen primär auf Technik und Recht bei Cyberattacken. Krisenkommunikation für den Ernstfall vernachlässigen sie. Ein kapitaler Fehler.
Vorbereitende Trainings und Simulationen für kleinere Unternehmen ratsam Das NIS2-Gesetz gilt für rund 30.000 Unternehmen in Deutschland verpflichtend, die mehr als 50 Mitarbeiter und 10 Mio. Euro Jahresumsatz zählen sowie in kritischen Branchen agieren. Das Gesetz soll Firmen resilienter gegen IT-Angriffe machen und vor Hackerangriffen schützen. Laut SCRIVO sollte jedoch jedes Unternehmen mit mehr als 10 Mitarbeitern das Gesetz als Ausgangspunkt nehmen, gleichzeitig mit der IT die Kommunikationsabläufe auf Vordermann zu bringen. “Unabhängig vom Gesetz lautet die Frage nicht, ob ein Unternehmen früher oder später Opfer eines Hackerangriffs wird, sondern wann. Unternehmen müssen sich vorbereiten und die Unternehmenskommunikation von Anbeginn in den Krisenstab einbinden. Im Schadenfall können sie schnell, transparent und klar nach Innen und Außen kommunizieren”, sagt er. Krisensimulationen und -trainings helfen im Ernstfall ebenso wie Krisen-Playbooks und unternehmensweite Kommunikationsrichtlinien. Transparenz und Tempo: Medien fokussieren auf Ausmaß und Reaktionszeit Lernen können Unternehmen laut SCRIVO Communications aus den jüngsten Vorfällen um gehackte Unternehmen oder das missglückte Sicherheitsupdate und seine verheerenden Folgen. "Medien fokussieren in ihrer Berichterstattung oft auf das Ausmaß des Angriffs, mögliche Datenverluste und die Reaktionszeit des Unternehmens", erläutert Oppel. "Unternehmen müssen darauf vorbereitet sein und proaktiv kommunizieren. Sie müssen transparent über den Vorfall informieren, die ergriffenen Maßnahmen erläutern und einen klaren Zeitplan für Updates vorlegen. Das scheitert, wenn sie erst am Tag des Angriffs beginnen, sich grundlegende Fragen zu stellen, Technik zum Laufen zu bringen oder Texte zu formulieren”, warnt Oppel. Kommunikation geht über gesetzliche Meldepflicht hinaus Ein weiterer Fehler ist, die Kommunikation auf die gesetzlichen Vorgaben zu reduzieren. Ein Beispiel ist die strenge Meldepflicht, die ein zentrales Element der Richtlinie und des Gesetzes ist. Das neue dreistufige Meldesystem für Cybersicherheitsvorfälle bezieht sich auf die gesetzlichen Vorgaben. Erstmeldung muss binnen 24 Stunden an das BSI eingereicht werden. Und nach 72 Stunden muss ein Update erfolgen, um den gesetzlichen Vorgaben zu entsprechen. Oppel: “Natürlich ist es wichtig, die Behörden zu informieren. Wer seine Hausaufgaben macht, bedenkt beim Thema NIS2 allerdings bereits heute die interne und externe Kommunikation, deren Inhalte und Adressaten. Nur so lassen sich langfristige Imageschäden vermeiden.” “Jedes Unternehmen sollte einen NIS2-Check machen. Gerade mittelgroße Unternehmen mit 10 bis 50 Mitarbeitern, die knapp an den Anforderungen vorbeischrammen oder in einem anderen Sektor tätig sind, dürfen das Thema nicht abhaken, wenn der Check ergibt, dass sie nicht betroffen sind. Sie fallen dann zwar nicht unter das Gesetz. Vor Cyberangriffen und IT-Ausfällen gefeit sind sie dadurch jedoch nicht. Sie sollten ebenso ihre IT-Pflichten erfüllen und ihre Kommunikation für einen möglichen Ernstfall vorbereiten. Sie können durch diesen Prozess nur gewinnen”, rät Oppel. NIS2: Ein Gesetz, fünf Kommunikationsfehler
Emittent/Herausgeber: Scrivo Communications Schlagwort(e): Informationstechnologie
Veröffentlichung einer Mitteilung, übermittelt durch EQS Group AG. |