Fünf Billionen Euro werden jährlich im Darknet umgesetzt – vor allem mit Erpressung. Denn: Immer mehr Unternehmen sind von Datendiebstahl, Spionage und Sabotage betroffen und werden nach einem digitalen Angriff zu Zahlungen in Millionenhöhe aufgefordert. Die Schäden können enorm sein und von Betriebsunterbrechungen bis zu Datenverlusten reichen.
Ab Oktober 2024 gelten in allen Mitgliedsländern der Europäischen Union strengere Cybersicherheitsstandards zum Schutz der digitalen Infrastruktur. Die neuen Regelungen, die auf der EU-Richtlinie NIS2 (Netz- und Informationssysteme) basieren, verpflichten Unternehmen in kritischen Sektoren zu umfassenden Maßnahmen gegen Cyberangriffe.
„Get ready“ für NIS2
Warum sollten Unternehmen jetzt handeln und welche Schritte sollte sie setzen, um den Anforderungen von NIS2 gerecht zu werden?
In gleich zwei parallel stattfindenden Workshops informierte ein Expertenteam des BMI über die Themenkomplexe NIS2 und RKE:
„Die NIS2-Richtlinie erweitert die Cyber-Sicherheitsanforderungen, während die RKE-Richtlinie speziell die Widerstandsfähigkeit kritischer Infrastrukturen stärkt. Das Gesetz dazu ist gerade in Begutachtung und soll im Oktober dieses Jahres umgesetzt werden“, informiert Caroline Schmidt, Programmdirektorin EU-Cybersicherheitspaket im Bundesministerium für Inneres (BMI).
Das BMI sieht die Umsetzung der beiden Richtlinien als Chance, die Resilienz in Österreich und der EU zu erhöhen. Dass auch das beste Sicherheitssystem blinde Flecken hat, musste auch Kärnten im Mai 2022 erfahren, als ein Cyberangriff das Landesnetz wochenlang lahmlegte.
„Wir evaluieren unsere Sicherheitsprozesse regelmäßig und setzen Maßnahmen, um etwaige Lücken zu schließen. NIS2 sollte nicht nur als gesetzliche Notwendigkeit gesehen werden, sondern auch als Chance, die eigene Cyber-Sicherheit und Resilienz zu stärken“, so Christian Inzko, Leiter der Informationstechnologie-Abteilung des Landes Kärnten.
Sicherheit und Wettbewerbsvorteil
Für WKK-Präsident Jürgen Mandl sind die neuen Regelungen ein wichtiger Schritt, um die digitale Infrastruktur des Landes besser vor Cyber-Angriffen zu schützen und die Reaktionszeit zu verkürzen:
„Unternehmen, die sich jetzt auf die neuen Anforderungen einstellen, sind für die Zukunft der Cybersicherheit gut gerüstet und haben einen Wettbewerbsvorteil. Sie sollten sich daher jetzt informieren, wir haben einen großen Expertenpool im Haus, der unsere Mitgliedsunternehmen bei der Umsetzung der neuen Regeln unterstützt.“
Für Claudia Mischensky, Geschäftsführerin der Industriellenvereinigung Kärnten, ist der vorliegende Entwurf zur Umsetzung der NIS2-Richtlinien ebenso ein wichtiger Schritt:
„Unsere Industriebetriebe haben in den vergangenen Jahren einen richtigen Digitalisierungsschub erlebt. Und die Gewährleistung eines hohen Sicherheitsniveaus der Netz- und Informationssysteme liegt im ureigensten Interesse der Unternehmen und ist eine zentrale Aufgabe für Staat, Wirtschaft und Gesellschaft. Die Industrie ist bereit, Verantwortung zu tragen, und notwendige Schritte für mehr Cybersicherheit aktiv und in enger Abstimmung mit den Behörden voranzutreiben.“
Wer ist von NIS2 betroffen?
Große und mittlere Unternehmen in den Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur – um nur einige zu nennen, sind von NIS2 betroffen. Kleinere Unternehmen mit einem Jahresumsatz oder einer Jahresbilanzsumme von höchstens 10 Millionen Euro, fallen nicht unter NIS2.
Aber Vorsicht: Kleine Unternehmen können in Ausnahmefällen auch unter die NIS2 fallen. Wer Dienstleister oder Lieferant eines NIS2-betroffenen Unternehmens ist, ist indirekt betroffen.
„Der Kunde wird an den Lieferanten herantreten und vertraglich festlegen, dass dieser je nach Risiko bestimmte Sicherheitsanforderungen erfüllt. Darüber hinaus kann der Kunde weitere Maßnahmen und Nachweise verlangen“, erklärt Marc Gfrerer, IT-Berufsgruppensprecher.
Die Fachgruppe UBIT empfiehlt, mit der Umsetzung der Regelungen im Unternehmen möglichst rasch zu beginnen, da die geforderten Maßnahmen eine entsprechende Vorlaufzeit benötigen.
Auf was sollte man achten?
Neben dem Risiko von Geldbußen birgt NIS2 auch ein Haftungsrisiko.
„Geschäftsführer und Vorstände werden bei Verstößen persönlich zur Verantwortung gezogen. Bei Aktiengesellschaften haftet der gesamte Vorstand. Unternehmen müssen Cybersicherheit nachweislich in der Geschäftsführung verankern und ein Informationssicherheitsmanagementsystem (ISMS) mit Vorgaben für IT und Mitarbeiter etablieren, angelehnt an ISO 27001. Auch Mitarbeiter-Schulungen und IT-Notfallpläne sind verpflichtend“, analysiert Marc Gfrerer.
Eines muss allerdings allen bewusst sein – wer Digitalisierung vorantreibt, muss auch die Cyber-Sicherheit im Blick haben.
„Dieses Prinzip verfolgt die Europäische Kommission mit ihrem neuen Cyber-Sicherheitspaket. Der plötzliche Stillstand kritischer Einrichtungen durch physische oder digitale Angriffe stellt ein ernstes Szenario dar. Daher ist es unerlässlich, jetzt Maßnahmen zum Schutz wesentlicher und wichtiger Dienste zu ergreifen und die Zusammenarbeit innerhalb der EU zu verstärken, um auf mögliche Bedrohungen vorbereitet zu sein. Die Unterstützung und schnelle nationale Umsetzung des Cyber-Sicherheitspakets sind deshalb von großer Bedeutung“, ergänzt Caroline Schmidt abschließend.
Mehr Informationen rund um das Thema NIS2-RKE finden Sie hier
