EU-Kniffe gegen Cyberangriffe

Was bedeutet NIS und was genau ist die NIS2-Richtlinie?

Krammer: NIS steht für Sicherheit der Netz- und Informationssysteme. Mit dieser seit 2019 in Österreich umgesetzten Richtlinie möchte die EU die Resilienz und die Reaktion auf Cyberangriffe des öffentlichen und des privaten Sektors verbessern. Betroffen waren bis jetzt nur Unternehmen der sogenannten kritischen Infrastruktur in den Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser und Digitale Infrastruktur. Die darauf aufbauende und erweiterte NIS2-Richtlinie wird zukünftig viele zusätzliche Bereiche betreffen.

Welche sind das konkret?

Krammer: Die Branchen sind breitgefächert und beinhalten neben der kritischen Infrastruktur nun die Bereiche Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, die verarbeitende und herstellende Industrie etc. Nicht von der NIS2-Richtlinie erfasst sind lediglich Unternehmen mit weniger als 50 Mitarbeitern und – nicht oder! – weniger als 10 Mio. Euro Jahresumsatz.

Wie wissen Unternehmen, ob sie von der NIS2-Richtlinie betroffen sind?

Krammer: Das ist ein spannender Punkt, denn bisher hat die Behörde Unternehmen darüber per Bescheid informiert, dass Maßnahmen zu ergreifen sind. Das ist nun nicht mehr so: Jeder muss nun selbst beurteilen, ob sein Unternehmen unter die NIS2- Richtlinie fällt, und das bedeutet folglich, dass auch die zu ergreifenden Maßnahmen selbst, auf Basis einer Risikoanalyse, zu definieren sind.

Was ist dabei zu beachten?

Krammer: Die neue Richtlinie mit ihren verhältnismäßig streng formulierten Regeln soll einen europäischen Mindeststandard schaffen, um nicht nur einfachsten Cyberangriffen widerstehen zu können. Die NIS2-Gesetztesvorlage ist ein Regelwerk mit dreizehn definierten Risikomanagementmaßnahmen, die umzusetzen sind. Und NIS2 darf man keineswegs auf die leichte Schulter nehmen: Geschäftsführer haften für die Umsetzung persönlich. Man muss aber bedenken, dass Maßnahmen in die Cybersecurity immer sinnvoll und auch notwendig sind – egal ob mit oder ohne NIS2.

Wichtig ist es, zu beginnen. Erste Maßnahmen müssen immer darauf abzielen, jene Bereiche abzusichern, welche das größte Schadenspotenzial beinhalten.

Martin Krammer, Siemens-Cybersecurity-Experte

Was ist noch neu in der Gesetzesvorlage?

Krammer: Es wurde eine Registrierungspflicht eingeführt. Alle von der NIS2 betroffenen Unternehmen müssen sich binnen drei Monaten nach Inkrafttreten des Gesetzes selbstständig registrieren. Ich gehe davon aus, dass das für diese Agenden zuständige Bundesministerium für Inneres dafür zeitgerecht eine Website bereitstellen wird. Neu ist weiters, dass im öffentlichen Sektor nur noch die Bundes- und Länderebene von der NIS2 erfasst werden, nicht jedoch Gemeinden.

Überprüft die Behörde, ob Unternehmen die erforderlichen Maßnahmen ergreifen?

Krammer: Ja, hier wird es ein zweistufiges System geben, welches der österreichische Gesetzgeber noch genauer geregelt hat. Im ersten Schritt kann die Behörde Unternehmen verpflichten, innerhalb von sechs Monaten nach Aufforderung eine Selbstdeklaration abzuliefern, in welcher auszuführen ist, welche Cybersecurity-Maßnahmen ergriffen wurden. Erschwerend ist allerdings, dass die EU bisher keine näheren Definitionen der technischen und methodischen Maßnahmen bereitgestellt hat. Auch eine Verordnung des BMI wird noch erwartet. Als zweiten Schritt nach der Selbstdeklaration müssen wesentliche Einrichtungen innerhalb von 3 Jahren einen Prüfbericht einer unabhängigen Stelle an die Behörde senden. Wichtige Einrichtungen werden das erst nach einer gesonderten Aufforderung machen müssen. Diesen Prozess kann man sich ähnlich vorstellen wie ein Audit bei einer ISO27001-Zertifizierung.

Ist das Thema NIS2 bei den österreichischen Unternehmen bereits angekommen?

Krammer: Der Cybersecurity im Allgemeinen wird nach wie vor zu wenig Bedeutung beigemessen. Das liegt vielfach daran, dass Unternehmen oft die Gefahren nicht kennen oder sie unterschätzen oder nicht so recht wissen, wie sie es in der Praxis umsetzen sollen. Das beginnt bei der eigenen IT, aber auch die Bereiche wie Gebäudeautomation oder Sicherheitstechnik wie z.B. Zutritt oder Videoüberwachung sind immer enger an die Unternehmens-IT angebunden und sind dadurch auch leichter angreifbar oder ein Einfallstor. Wichtig ist es jedoch, zu beginnen. Erste Maßnahmen müssen immer darauf abzielen, jene Bereiche abzusichern, welche das größte Schadenspotenzial beinhalten. Andere Technikbereiche können dann nach und nach in das Security-Konzept miteinbezogen werden.

Können Unternehmen das Thema Cybersecurity und NIS2-Verordung selbst stemmen?

Krammer: An sich ja, unter der Voraussetzung, dass man Mitarbeiter mit dem erforderlichen Know-how im Haus hat. Ist das nicht der Fall, empfiehlt es sich dringend, auf kompetente Partner zu setzen. Siemens zeigt individuell – und herstellerunabhängig – Lösungswege auf, überträgt sie in die Praxis und führt sie mit einer laufenden Betreuung in die Zukunft. Nur so gelingt die Herausforderung, heute und in Zukunft die bestmögliche Sicherheit vor Cyberattacken – und gleichzeitig die NIS2-Konformität – zu erreichen. Diesen anspruchsvollen Part selbst zu übernehmen dürfte nur wenigen Unternehmen gelingen – nicht zuletzt auf Grund des hohen Aufwands und des Fachkräftemangels im IT-Sektor. Siemens bietet hier die passenden Services an, für kleine, mittlere und große Unternehmen.

---

Entdecken Sie unsere Webinarreihe!
Bei unserer Cybersecurity-Webinarreihe präsentieren Ihnen unsere Experten neben rechtlichen Aspekten auch ganzheitliche Cybersecurity-Ansätze für Industrie, Gebäude und Infrastruktur, um die Herausforderungen einer zunehmend digitalisierten Welt zu meistern. Hier die Aufzeichnungen ansehen!

Weitere Informationen finden Sie hier.