IT-Security-Fokustalk NIS2
© Fachgruppe UBIT

NIS2: Jetzt heißt es Gas geben!

Der IT-Security-Fokustalk klärte am 17. Mai 2023 auf, welche Unternehmen von der Cybersicherheits-Richtlinie betroffen sind und was sie zu tun haben. In einem Punkt waren sich alle einig: Betroffene sollen sofort mit der Umsetzung beginnen.

Lesedauer: 3 Minuten

23.05.2023

Stellen Sie sich vor, Sie kommen ins Büro und finden am Bildschirm diese Nachricht: „WARNING, alle your files are encrypted!“ Cyberattacken wie diese sind mittlerweile Realität: Im vergangenen Jahr gab es dazu 60.195 Anzeigen, 2021 waren es erst 46.179. Das hat auch die EU erkannt und NIS2 beschlossen. Diese neue Cybersicherheits-Richtlinie gilt ab Oktober 2024 und bringt für Unternehmen bestimmter Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen. Die Fachgruppe UBIT lud daher gemeinsam mit dem „Software Internet Cluster“ zur Hybrid-Veranstaltung „NIS2: Wer ist betroffen und was ist zu tun?“

Aber was ist NIS2? 

„NIS2 verlangt von bestimmten Unternehmen Risikomanagementmaßnahmen wie Konzepte für Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Backupmanagement und Schulungen von Mitarbeiter:innen“, erklärte Verena Becker, Cybersicherheitsexpertin in der Bundessparte IC. Lieferketten und Abhängigkeiten von Partnerunternehmen müssen ebenso berücksichtigt werden. Auch die Meldepflichten sind streng: „Bei Cybersicherheitsvorfällen müssen Unternehmen die Behörde innerhalb von 24 Stunden zum ersten Mal informieren. Innerhalb von drei Tagen ist der Behörde eine ausführliche Einschätzung zu übermitteln.“ Nach einem Monat soll dann ein Abschlussbericht gesendet werden.

Wer ist von NIS2 betroffen? Indirekt alle Unternehmen!

Unternehmen unter 50 Mitarbeiter:innen in Vollzeit können vorerst aufatmen. Sie betrifft NIS2 nur, wenn sie in einem sogenannten kritischen Bereich arbeiten. Ob Ihr Betrieb aber tatsächlich betroffen ist, zeigt Ihnen der Onlineratgeber https://ratgeber.wko.at/nis2 der Wirtschaftskammer. Becker sieht unabhängig von NIS2 Herausforderungen für jedes Unternehmen: „Wenn ich Schadsoftware an ein anderes Unternehmen weitergebe, kann ich schadenersatzpflichtig werden. Und das ist von den möglichen Folgekosten viel schlimmer als die Strafen bei NIS2!“ Zudem hinterfragen Versicherungen schon jetzt bei Cyberattacken ganz genau, ob entsprechende Sicherheitsmaßnahmen im Unternehmen vorliegen. Die geschädigten Unternehmen schauen dann oft durch die Finger.

Zur Präsentation von Verena Becker


Cybersecurity ist Chefaufgabe

Auf das Topmanagement kommt laut Becker neue Verantwortung zu: „Leitungsorgane haften persönlich und müssen eine Schulung in diesem Bereich nachweisen.“ Die Strafen bei Nichteinhalten sind hoch: Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes bei „wesentlichen“ Organisationen, bei „wichtigen“ Unternehmen sind es 7 Millionen Euro bzw. 1,4 Prozent des Jahresumsatzes. Ob Strafen in dieser Höhe ausgesprochen werden, ist aber unklar. Ebenso unklar ist, ob sich Unternehmen selbst bei der Behörde melden müssen, wenn Sie NIS2 betrifft.

Geben Sie Gas, wenn Cybersecurity für Sie Neuland ist

Rene Schmid kennt als CISO der Stadtwerke Klagenfurt NIS aus jahrelanger Erfahrung: „Die Stadtwerke Klagenfurt waren schon von NIS1 betroffen.“ Allein in die Umsetzung dieser Richtlinien sind 3.500 interne Arbeitsstunden geflossen. „Dabei haben wir 2015 in unsere IT investiert und alles inhouse neu aufgebaut. Daher waren wir gut vorbereitet.“ Wenn sich jemand bislang mit Cybersecurity überhaupt nicht beschäftigt hat, muss er Gas geben. Und Schmid gab gleich einen weiteren Tipp mit: „Vorher haben wir mit Excel gearbeitet. Jetzt haben wir ein Risikomanagementtool und können die professionelle Vorgehensweise nur empfehlen.“

So gehen die Prüfer vor

Thorsten Jost ist Zertifizierungsauditor und qualifizierter Prüfer für NIS2. Und er sagt für betroffene Unternehmen viel Arbeit voraus: „Es ist eine strenge Prüfung, weil wir Einsichtnahmerecht in alle betroffenen Bereiche haben.“ Nach seiner Erfahrung werden bei Prüfungen die Regelungen wie Richtlinien und Vorgaben durchleuchtet, die sämtliche Sicherheitsthemen abdecken. „Es wird nicht helfen, es nur auf dem Papier zu haben. Es muss auch gelebt werden.“ Und auch die Lieferantenkette ist ein wesentlicher Punkt. Jost versuchte die Unternehmen ob der Menge an Hausaufgaben zu trösten: „Für die Prüfer fällt auch viel Arbeit an.“ 

Vorgehensweise bei NIS2:

  1. Nutzen Sie die Services der Wirtschaftskammer (Links siehe unten) und überprüfen Sie, ob Sie betroffen sind.
  2. Sind Sie betroffen, überlegen Sie, ob Sie die Aufgaben selbst umsetzen können. Hilfe bietet das deutsche BSI mit sehr viel fachlichen Inputs. Ansonsten sind externe Berater eine Möglichkeit. Egal ob Sie es allein umsetzen oder aber mit einem externen Berater: NIS2 so einzuführen, dass es das gesamte Unternehmen auch lebt, kostet Zeit.

Das Thema brennt!

Gastgeber Marc Gfrerer empfahl daher in seiner Funktion als IT-Berufsgruppensprecher und SIC-Vertreter abschließend: „Das Thema brennt, wie die 60 Teilnehmenden heute zeigen. Beginnen Sie also so schnell wie möglich mit den Vorbereitungen“ Eine Vielzahl der Unternehmen wisse aber nach Einschätzung von Gfrerer noch gar nicht, dass sie betroffen ist. „Wir rechnen mit 4.000 Betrieben, wobei die Lieferanten hier gar nicht berücksichtigt sind.“


Weitere interessante Artikel