Wie Unternehmen EU-Regularien wie NIS-2 als Chance im Wettbewerb nutzen und in der Praxis davon profitieren, berichten ein Experte für Prozessmanagement und ein Datenschutzbeauftragter aus der Industrie.
Digitale Souveränität entwickelt sich zu einem strategischen Faktor, nicht nur auf politischer Ebene, sondern auch im unternehmerischen Alltag. Im Kern geht es um den Umgang mit Daten. Unternehmen treiben die Digitalisierung voran, setzen auf Cloudlösungen und KI. Gleichzeitig wächst das Bewusstsein dafür, dass Daten ein sensibler und schützenswerter Rohstoff sind. Welche Informationen werden wo gespeichert? Welchen Anbietern kann man vertrauen? Und wie lässt sich die Kontrolle über die eigenen Daten wahren, gerade im Kontext internationaler Interessenlagen? Vor diesem Hintergrund gewinnt die Regulatorik zunehmend an Bedeutung. Mit NIS-2 (der Richtlinie zur Sicherung von Netz- und Informationssystemen) setzt die EU Maßnahmen, um auf die veränderten Rahmenbedingungen zu reagieren und einheitliche Sicherheitsstandards zu schaffen. Wie Unternehmen ihre Innovationsfähigkeit unter Einhaltung von Sicherheit und Compliance bewahren, darüber sprechen Alexander Mestian, Datenschutzbeauftragter bei Palfinger, und Robin Schmeisser, Geschäftsführer von Fabasoft Contracts.
Neue Regulatorik wird in der Praxis oft als zusätzliche Belastung wahrgenommen. Wie sehr schränken gesetzliche Vorgaben wie NIS-2 die Wettbewerbsfähigkeit von Europa ein?
Das Ziel von NIS-2 ist es, europäische Infrastrukturen und Unternehmen zu schützen. Die Welt, in der wir leben, hat sich geändert. Einheitliche Sicherheitsstandards und klare Spielregeln helfen dabei, Risiken besser einschätzen und reduzieren zu können. Das betrifft nicht nur die IT- und Cybersicherheit, die die Regulatorik adressiert, sondern auch Rechtssicherheit für das eigene Unternehmen.
Neue regulatorische Vorgaben werden naturgemäß zunächst kritisch gesehen. Auch bei der DSGVO wurde befürchtet, sie würde unsere Wirtschaft und Wettbewerbsfähigkeit massiv einschränken. Nach nunmehr acht Jahren seit Inkrafttreten kann man sagen: Dazu ist es nicht gekommen. Palfinger agiert in mehr als 30 Ländern – vergleichbare Datenschutz-Regulative gibt es heutzutage überall. Mit NIS-2 wird diese Diskussion nun erneut geführt. Viele Menschen empfinden solche Vorgaben als Einschränkung ihrer Freiheiten, ähnlich wie beim Tempolimit auf der Autobahn, das letztlich aber dem eigenen Schutz und dem der anderen Verkehrsteilnehmenden dient und damit langfristig auch zur Stabilität und Verlässlichkeit im System beiträgt.
Sie sehen die NIS-2-Richtlinie also als notwendige Erweiterung zum Schutz von Netz- und Informationssystemen?
Den Grundgedanken von NIS-2 halte ich für sehr sinnvoll. Zum einen wird ein einheitliches Informationslevel zu Sicherheitsvorfällen geschaffen. Zum anderen sensibilisiert die Richtlinie für die Bedeutung von IT- und Datensicherheit. Auf operativer Ebene zeigt sich aktuell noch die fehlende europaweit einheitliche Umsetzung.
Im Gegensatz zu Verordnungen müssen die Mitgliedstaaten EU-Richtlinien wie NIS-2 zuerst in nationales Recht überführen. Am Beispiel der DORA-Verordnung im Finanzsektor haben wir gesehen, wie hilfreich ein europaweit einheitliches Gesetz ist, besonders für international agierende Unternehmen.
Ergeben sich durch die nationalen Umsetzungen inhaltliche Unterschiede zwischen den jeweiligen NIS-2-Gesetzen?
Die größten Unterschiede sehe ich in der Geschwindigkeit der Ausrollung in den einzelnen Ländern sowie bei den Melde- und Registrierarten. Die tatsächliche Auslegung der NIS-2 ist in fast allen Ländern nahezu identisch. Dennoch ist aktuell eine standortspezifische Auseinandersetzung erforderlich, die zusätzlichen Abstimmungsbedarf mit sich bringt. Eine zentrale Lösung zur Steuerung, ähnlich dem One-Stop-Shop-Prinzip der DSGVO, wäre hier wünschenswert.
Wo sehen Sie die größten Handlungsfelder oder Herausforderungen für Unternehmen, die unter NIS-2 fallen?
NIS-2 erweitert den Kreis der betroffenen Unternehmen und fordert eine genaue Überprüfung der IT-Sicherheitsmaßnahmen. Beispielsweise müssen gemäß NIS-2 strikte Sicherheits- und Vorfallsbestimmungen in den Verträgen mit Lieferanten verankert sein. Das bedeutet, der gesamte Vertragsbestand wird überprüft und bei Bedarf angepasst, ein Prozess, der entsprechenden Ressourceneinsatz erfordert, gleichzeitig aber zu mehr Transparenz und Sicherheit in der Zusammenarbeit beiträgt.
Hier kann KI-gestützte Software einen großen Beitrag leisten. Einige unserer Kunden überprüfen ihre Verträge bereits automatisiert auf definierte K.-o.-Kriterien oder von der Regulatorik vorgeschriebene Inhalte. Die Verantwortlichen erhalten auf Knopfdruck eine Übersicht, welche Vorgaben schon erfüllt sind und wo noch Handlungsbedarf besteht. Das spart nicht nur enorm viel Zeit, sondern funktioniert dank moderner Sprachmodelle auch für internationale Unternehmen in diversen Sprachen.
Generell ist das Lieferantenmanagement ein zentrales Thema. Als Unternehmen sind wir verpflichtet, unsere Lieferanten sowohl vor Beginn der Zusammenarbeit als auch wiederkehrend nach einer Vielzahl von Kriterien zu auditieren. Externe Unternehmen in dieser Detailtiefe zu bewerten, ist in der praktischen Umsetzung mit entsprechendem Aufwand verbunden – insbesondere im Hinblick auf interne Kapazitäten und die Verfügbarkeit relevanter Informationen.
Welche Kontrollmöglichkeiten bleiben Unternehmen dann noch, ob ihre Lieferanten die notwendigen Sicherheitskriterien erfüllen?
Der beste Nachweis für Datenschutz und Informationssicherheit sind unabhängige Zertifikate und Testate. Für Kunden gibt es nichts Besseres, als einen jährlichen detailliertenPrüfbericht einer unabhängigen Prüfinstanz zu erhalten, der nach einheitlichen Best-Practice-Kriterienkatalogen bestätigt, dass alle Anforderungen erfüllt sind.
Auf dieser Basis geht es darum, Risiken strukturiert zu reduzieren und mehr Sicherheit in der Zusammenarbeit mit Lieferanten zu schaffen. Wenn wir mit zertifizierten Dienstleistern arbeiten, schaffen wir eine verlässliche Grundlage, um regulatorische Anforderungen zu erfüllen und potenzielle Risiken, etwa im Zusammenhang mit Haftung oder Sanktionen, gezielt zu minimieren.Entscheidend ist dabei, dassUnternehmen die entsprechenden Prozesse transparent und nachvollziehbar gestalten.
Auch aus Vorstands oder Geschäftsführerperspektive ist dies ein wichtiges Thema im Hinblick auf persönliche Haftungen. Liegen entsprechende Nachweise von Lieferanten vor, lässt sich fahrlässiges Handeln in vielen Fällen ausschließen.
Welche Standards gibt es in diesem Bereich, an denen sich Unternehmen orientieren können?
Im Datenschutzbereich gilt der EU Cloud Code of Conduct auf Level 3 als höchster Nachweis. Hinsichtlich Informationssicherheit gibt es Testate wie das BSI C5 im deutschsprachigenRaum oder international das ISAE 3000 SOC2 Type 2. Ratsam ist bei angegebenen Testaten, immer den Scope zu hinterfragen. Es kann vorkommen, dass nur ein Teil des Services demTestat unterliegt. Zudem sollten Unternehmen nicht nur den Standort der Rechenzentren prüfen, sondern auch die Herkunft des IT-Anbieters. Nur weil Daten in Europa liegen, bedeutet das noch keine vollständige Sicherheit. Stichwort: US Cloud Act.
Um marktfähig zu bleiben, müssen IT-Dienstleister also heutzutage umfangreichen Anforderungen entsprechen. KI hingegen wird in der Praxis oft sehr leichtfertig genutzt. Wie passt das zusammen?
Künstliche Intelligenz können und wollen wir nicht verhindern. Im Gegenteil, wir sehen darin einen massiven Gewinn für Palfinger, insbesondere dort, wo KI Produktivität steigert, Prozesse effizienter und sicherer macht und Entscheidungen unterstützt. Jedoch entwickelt sich das Thema derart schnell, dass regulatorische und praktische Rahmenbedingungen oft hinterherhinken – umso wichtiger ist ein bewusster und verantwortungsvoller Einsatz, gerade im Hinblick auf Datenquellen, Wahrheitsgehalt und Urheberrechte. Sobald ich Informationen in öffentliche KI-Systeme eingebe, kann die Kontrolle über Inhalte verloren gehen, und ich riskiere, dass unternehmenseigene Informationen nach außen gelangen. Hier ist es entscheidend, den Einsatz klar zu steuern und innerhalb des Unternehmens gezielt zu verankern, insbesondere im Umgang mit sensiblen Daten.
Wie müssen Unternehmen KI einsetzen, um diese Problematik zu vermeiden?
Die einzige Möglichkeit, die wir aktuell sehen, die Ergebnisse der KI belastbar zu machen, ist die Kontrolle der Daten. Woher bezieht die KI diese, welche Datenmodelle werden angewendet? Letztlich treffen wir basierend auf den Ergebnissen Entscheidungen. Das ist nur mit einer guten und sauberen Datenquelle machbar.
Genau deshalb ziehen unsere KI-Lösungen (beispielsweise für die Beantwortung von Chat-Fragen) ausschließlich Informationen aus den von unseren Kunden revisionssicher abgelegten Dokumenten heran – inklusive Quellenverweis, um die Ergebnisse nachvollziehen zu können.
Der Mensch bleibt also nach wie vor eine wichtige Kontrollinstanz?
KI sollte immer dazu dienen, den Mensch entlang der Geschäftsprozessen zu unterstütze. Um die Qualität der Ergebnisse abzusichern, ist es aber essenziell, die menschliche Expertise gezielt an den richtigen Stellen einzubinden. Die Informationen, die die KI aufbereitet, und die Entscheidungen, die sie trifft, müssen übersichtlich und leicht zu erfassen sein, um die gewünschte Prozessbeschleunigung zu erzielen. Nehmen wir beispielsweise die Risikobewertung von Verträgen. Wenn ich meine vertraglichen Vereinbarungen mit KI auf Compliance zu NIS-2 prüfe, identifiziert die KI kritische Stellen, bewertet diese nach dem Risikograd, begründet diese Entscheidung mit dem herangezogenen Inhalt und bereitet mir alles übersichtlich auf. So kann ich die Ergebnisse auf einen Blick erfassen und schnell bearbeiten.
Am Ende des Tages bleibt trotzdem immer der Mensch für das Ergebnis verantwortlich. Technologische Unterstützung ändert nichts an der unternehmerischen Verantwortung.
Zu den Personen
Robin Schmeisser beschäftigt sich seit 2004 intensiv mit der Digitalisierung von Geschäftsprozessen. Nach langjähriger Geschäftsführertätigkeit bei einem Softwarehersteller ist er seit 2021 für Fabasoft Contracts verantwortlich.
Alexander Mestian ist Konzerndatenschutzbeauftragter beim Kran- und Hebetechnikspezialisten Palfinger mit Sitz in Bergheim bei Salzburg. Palfinger macht mit 12.350 Mitarbeitenden 2,34 Milliarden Euro Umsatz weltweit.
Zukunft. Palfinger macht längst mehr als Kräne und Hebebühnen. Im März wurde eine Technologiekooperation mit der US-Firma Icon gestartet, um gemeinsam robotergestützten 3D-Druck für Baustellen anzubieten.
© Casey Dunn
