Die Leitungsorgane im Sinne der NIS-Gesetzgebung

Einleitung

Die Cybersicherheits-Richtlinie NIS2 muss bis 17. Oktober 2024 in jedem EU-Mitgliedstaat umgesetzt werden. Dies erfolgt in Österreich erfolgt durch das NISG 2024, das derzeit als Gesetzesentwurf vorliegt.

Ziel der Gesetzgebung ist die Steigerung der Cyberresilienz betroffener Einrichtungen. Mit dem NISG werden für viele Unternehmen bestimmter Sektoren umfassende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen unter Androhung hoher Strafen gelten.

Verantwortlich für die Einhaltung der Pflichten sind die Leitungsorgane der Einrichtung.

Diese Informationen wurden auf Grundlage der NIS2-Richtlinie und der offiziellen Begutachtungsunterlagen zum NISG 2024 Offizielle Begutachtungsunterlagen  erstellt.. Änderungen während des Gesetzgebungsprozesses sind möglich, die Rechtslage ergibt sich erst aufgrund der Veröffentlichung des Gesetzes im Bundesgesetzblatt.

Begriff Leitungsorgan

Leitungsorgan ist eine oder sind mehrere natürliche Personen oder Verwaltungsorgane, die nach Gesetz, Satzung oder Vertrag zur Führung der Geschäfte einer Einrichtung oder innerhalb der Einrichtung zur Überwachung der Geschäftsführung berufen sind. Erfasst werden soll die tatsächliche Leitungs- und Geschäftsführungsebene. Laut Erläuterungen zum NISG 2024 (vorbehaltlich Gesetzgebung) sind dies etwa der Vorstand, Geschäftsführer oder Aufsichtsrat der jeweiligen Einrichtung.

Aufgaben der Leitungsorgane

Die Leitungsorgane

• haben die Einhaltung der im NISG geforderten Risikomanagementmaßnahmen sicherzustellen und zu beaufsichtigen
• müssen an spezifisch für Leitungsorgane gestalteten Cybersicherheitsschulungen teilnehmen (allgemeine Cybersicherheitsschulungen wie z.B. Schulungen für Mitarbeiter sind nicht ausreichend). Die Teilnahme an den Schulungen muss entsprechend dokumentiert werden (Inhalt der Schulungen und Schulungsangebote siehe unten).
• haben den Mitarbeitern regelmäßig entsprechende Schulungen anzubieten, damit diese ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste erwerben können.

Haftung

Für betroffene Einrichtungen sind bei Nichteinhaltung der gesetzlichen Vorgaben Verwaltungsstrafen bis zu EUR 7 Mio. bzw. 1,4 % des weltweiten (Konzern-)Jahresumsatzes für wichtige Einrichtungen und bis zu EUR 10 Mio. bzw. 2 % des weltweiten (Konzern-) Jahresumsatzes für wesentliche Einrichtungen vorgesehen.

Leitungsorgane, die ihre Pflichten nach NISG verletzten, haften der Einrichtung für den schuldhaft verursachten Schaden.

Es sind auch Verwaltungsstrafen für Leitungsorgane bei Nichteinhaltung der Pflichten denkbar.

Schulungsinhalte für Leitungsorgane

Leitungsorgane haben eine hohe Verantwortung im Unternehmen. Im Bereich Cybersicherheit sind sie für die Einhaltung und Umsetzung der nach dem NISG geforderten Maßnahmen verantwortlich, sind aber auch Vorbild für die Mitarbeiter und normale End-User wie andere Mitarbeiter. Um dieser Verantwortung gerecht werden zu können, müssen sie an entsprechenden Schulungen teilnehmen. Dabei sind die nachstehenden Inhalte zu behandeln bzw. soll die Schulung dazu dienen, dass die Leitungsorgane in der Lage sind, sich im Nachgang mit den Fragestellungen im eigenen Unternehmen auf Managementebene auseinanderzusetzen.   

Inhalte Schulungen für Leitungsorgane

Leitungsorgan als Managementaufgabe:

Rechtsrahmen
NISG 2024 und NIS2-Richtlinie

Insbesondere Regelungen, die sich an betroffene Einrichtungen wenden:

• Anwendungsbereich
• Governance
• Risikomanagementmaßnahmen inklusive Lieferkette
• Aufsicht und Sanktionen
• Haftungsfragen aufgrund von Cybersicherheitsvorfällen

Incidents

• Beispiele von Sicherheitsvorfällen in Österreich und in den Branchen

IT Risiken managen und BIA (Business Impact Analyse)

• Was ist die Kernaufgabe der jeweiligen Einrichtung?
• Wofür steht die Organisation?
• Was "muss" immer funktionieren?
• Erkenntnis von Abhängigkeiten (Kausalketten, Betriebsnotwendigkeiten, Logistik, Produktion, Verkauf), vor allem von IT
• Was kann passieren und die Geschäftstätigkeit stören?
• Daraus soll abgeleitet werden können, was die schlimmsten Auswirkungen (auf die Einrichtung oder deren Kunden) bei Ausfall von IT wären.
• Welche Maßnahmen können getroffen werden, um die Risiken zu verringern?
• Welche Maßnahmen erscheinen wirtschaftlich sinnvoll und angemessen?

Diese Risiken und Maßnahmen sind jedenfalls jährlich zu aktualisieren und zu dokumentieren.

Assets managen (Aktualität und Vollständigkeit)

• Notwendigkeit eines aktuellen (!) Verzeichnisses über alle IT-Systeme, Anwendungen und der Daten der Organisation
• Zustand dieser IT-Anwendungen (Zuständigkeit, Konfiguration, Alter, Version, Support, Patchstand)
• Wo läuft was tatsächlich?
• Wer ist dafür verantwortlich?
• Wer kennt sich aus?

Schwachstellen technisch/organisatorisch

• IT-Schwachstellen werden täglich entdeckt und sind unvermeidbar, weshalb sie laufend ausgebessert werden müssen (z.B. Patching).
• Regelmäßiger Status und Fortschritt beim Beheben von Schwachstellen  in der gesamten IT Infrastruktur

Lieferantenmanagement

• Sicherheit der Lieferketten nach NISG 2024
• Welche Dienstleister/Lieferanten sorgen für die in der Einrichtung verwendeten IT Lösungen?
• Nachweise für die Sicherheit von Dienstleistern und Lieferanten

Informationssicherheit

• Wer kümmert sich in der Einrichtung um Informationssicherheit? Ist jemand damit beauftragt?
• Gibt es ein aktuelles Informations-Sicherheits-Regelwerk? (z.B. Informationssicherheitsrichtlinie)
  

Nutzen von Informationssicherheit

Informationssicherheit

• gehört zur Sorgfalt eines Unternehmers im digitalen Zeitalter.
• erhöht die Widerstandsfähigkeit des Unternehmens gegen Cyberangriffe und -vorfälle.
• trägt zur Schadensabwendung bei, vermeidet Betriebsstörungen, Erpressungen, etc.
• erhöht die Resilienz der Gesellschaft

Konsequenzenmanagement

Ablauf- und Aufbauorganisation im Ernstfall:

• Krisenstab
• Situationsbewältigung
• Umgang mit den Konsequenzen des Angriffes

Leitungsorgan als User

Phishing

• Motivation der Angreifer
• Ransomware: Was ist das und Folgen einer Ransomware-Attacke
• Eindringen -> Ransomware -> Produktionsstillstand
• Eindringen -> Datendiebstahl -> Erpressung
• Phishing: Wie erkenne ich Phishing-Mails; Ablauf eines Phishing Angriffs
• Auswirkung auf das Individuum und die Organisation

Social Engineering (CEO-Fraud)

• Was ist das? Fälle von CEO-Fraud in Österreich
• Kontoänderung bei Lieferanten
• Erkennung/Abwehr

Missbrauch von Daten

• Was bedeutet Missbrauch von Daten
• Spionage als Geheimnisverrat an die Konkurrenz
• Erpressung mit Kundendaten (Data Breach)
• betrügerische Zahlungsfreigabe
• Webdefacement
• Missbrauch der IT als Angriffsvektor gegen Dritte
• Mahnschreiben mit falscher Kontoverbindung
• Unbewusste Informationsweitergabe (sensible Infos in LinkedIn Profilen, kostenlose Dienste wie VirusTotal und Google Übersetzer usw.)
• Smartphones als lohnende Angriffsziele und mobile Sicherheit
• Verschlüsselung
• Sicheres Löschen von Datenträgern

Multi-Faktor-Authentifizierung und Passwortsicherheit

• Passwortsicherheit
• Vorteile
• Usability
• sichere Kennwortaufbewahrung
• schwache versus starke Kennwörter
• haveibeenpwned.com
• Beispiele aus der Praxis (Google, Apple, Kreditkarten)
  

DeepFakes

• Erkennung und Gefahren

Infektion mit Schadsoftware

• Wie infiziere ich mich?
• Sicherheitslücken und Sicherheitsupdates
•  Beispiele aus der Praxis

Die Fachverband UBIT Akademie incite bietet spezifische Schulungen für Leitungsorgane und Führungskräfte an. Details finden Sie hier: https://www.incite.at/de/programm/workshop-cybersicherheits-richtlinie-nis-2-fuer-fuehrungskraefte/