Das neue NIS2-Gesetz, das seit dem 17. Oktober gilt, sollte für alle Unternehmen mit mehr als 10 Mitarbeitern ein Alarmruf sein, auch die Kommunikation bei IT-Ernstfällen auf den Prüfstand zu stellen. „In der Krisenkommunikation nach Cyberangriffen verfallen Unternehmen in ähnliche Muster, die sich durch Vorbereitung vermeiden lassen“, erklärt Kai Oppel, Inhaber der Münchner Agentur Scrivo Communications. Einerseits unterschätzen sie die Bedeutung einer schnellen und transparenten Kommunikation. Andererseits sind sie dazu gar nicht in der Lage, weil sie nicht wissen, wer kommuniziert, was kommuniziert wird, wann kommuniziert wird und wie kommuniziert wird.
Was ist ratsam für kleinere Unternehmen?
Das NIS2-Gesetz gilt für rund 30.000 Unternehmen in Deutschland verpflichtend, die mehr als 50 Mitarbeiter und 10 Millionen Euro Jahresumsatz zählen sowie in kritischen Branchen agieren. Das Gesetz soll Firmen resilienter gegen IT-Angriffe machen und vor Hackerangriffen schützen. Laut Scrivo sollte jedoch jedes Unternehmen mit mehr als 10 Mitarbeitern das Gesetz als Ausgangspunkt nehmen, gleichzeitig mit der IT die Kommunikationsabläufe auf Vordermann zu bringen.
„Unabhängig vom Gesetz lautet die Frage nicht, ob ein Unternehmen früher oder später Opfer eines Hackerangriffs wird, sondern wann. Unternehmen müssen sich vorbereiten und die Unternehmenskommunikation von Anbeginn in den Krisenstab einbinden. Im Schadenfall können sie schnell, transparent und klar nach Innen und Außen kommunizieren“, sagt Kai Oppel. Krisensimulationen und -trainings helfen im Ernstfall ebenso wie Krisen-Playbooks und unternehmensweite Kommunikationsrichtlinien.
Medien fokussieren auf Ausmaß und Reaktionszeit
Lernen können Unternehmen laut Scrivo Communications aus den jüngsten Vorfällen um gehackte Unternehmen oder das missglückte Sicherheitsupdate und seine verheerenden Folgen. „Medien fokussieren in ihrer Berichterstattung oft auf das Ausmaß des Angriffs, mögliche Datenverluste und die Reaktionszeit des Unternehmens“, erläutert Oppel. „Unternehmen müssen darauf vorbereitet sein und proaktiv kommunizieren. Sie müssen transparent über den Vorfall informieren, die ergriffenen Maßnahmen erläutern und einen klaren Zeitplan für Updates vorlegen. Das scheitert, wenn sie erst am Tag des Angriffs beginnen, sich grundlegende Fragen zu stellen, Technik zum Laufen zu bringen oder Texte zu formulieren“, warnt Oppel.
Kommunikation geht über gesetzliche Meldepflicht hinaus
Ein weiterer Fehler ist, die Kommunikation auf die gesetzlichen Vorgaben zu reduzieren. Ein Beispiel ist die strenge Meldepflicht, die ein zentrales Element der Richtlinie und des Gesetzes ist. Das neue dreistufige Meldesystem für Cybersicherheitsvorfälle bezieht sich auf die gesetzlichen Vorgaben. Erstmeldung muss binnen 24 Stunden an das BSI (Bundesamt für Sicherheit in der Informationstechnik) eingereicht werden. Und nach 72 Stunden muss ein Update erfolgen, um den gesetzlichen Vorgaben zu entsprechen. Oppel sagt: „Natürlich ist es wichtig, die Behörden zu informieren. Wer seine Hausaufgaben macht, bedenkt beim Thema NIS2 allerdings bereits heute die interne und externe Kommunikation, deren Inhalte und Adressaten. Nur so lassen sich langfristige Imageschäden vermeiden.“
„Nicht betroffen“ bedeutet nicht „Geschützt“
„Jedes Unternehmen sollte einen NIS2-Check machen. Gerade mittelgroße Unternehmen mit 10 bis 50 Mitarbeitern, die knapp an den Anforderungen vorbeischrammen oder in einem anderen Sektor tätig sind, dürfen das Thema nicht abhaken, wenn der Check ergibt, dass sie nicht betroffen sind. Sie fallen dann zwar nicht unter das Gesetz. Vor Cyberangriffen und IT-Ausfällen gefeit sind sie dadurch jedoch nicht. Sie sollten ebenso ihre IT-Pflichten erfüllen und ihre Kommunikation für einen möglichen Ernstfall vorbereiten. Sie können durch diesen Prozess nur gewinnen“, rät Oppel.
Fünf Kommunikationsfehler
Unterschätzung der Kommunikationsnotwendigkeit: Viele Unternehmen sehen Cybersicherheitsvorfälle hauptsächlich als technische Probleme. Sie erkennen nicht, dass ein IT-Vorfall erhebliche Auswirkungen auf das Vertrauen und die Wahrnehmung durch Kunden, Partner und die Öffentlichkeit haben kann.
Planung der Krisenkommunikation: Es fehlt oft an einer detaillierten Krisenkommunikationsstrategie. Diese muss klare Protokolle für die interne und externe Kommunikation im Falle eines Vorfalls enthalten. Ohne eine solche Planung wirken Unternehmen in der Krise unkoordiniert und unvorbereitet.
Transparenz und Vertrauen: In einer Krise ist Transparenz entscheidend. Kunden und Partner erwarten schnelle und offene Kommunikation. Unternehmen, die nicht zeitnah und ehrlich informieren, riskieren einen Verlust des Vertrauens und langfristigen Reputationsschaden.
Rechtliche und regulatorische Anforderungen: Neben der internen und externen Kommunikation gibt es oft gesetzliche Verpflichtungen zur Meldung von Vorfällen. Unternehmen müssen sicherstellen, dass sie diese Anforderungen erfüllen und gleichzeitig ihre Kommunikationsstrategie anpassen. Bei Nichteinhaltung drohen Sanktionen.
Schulungen und Übungen: Viele Unternehmen versäumen es, ihre Mitarbeiter auf Krisenszenarien vorzubereiten. Dabei helfen regelmäßige Schulungen und Übungen zur Krisenkommunikation, das Team auf einen echten Vorfall vorzubereiten und die Reaktionszeit zu verkürzen.
Lesen Sie mehr: Welche Vorgaben umfasst die NIS2-Richtlinie? und Welche Gesetze gelten für Unternehmen in Europa?