NIS2-RKE: Strenge IT-Sicherheitsregeln für Unternehmen

Fünf Billionen Euro werden jährlich im Darknet umgesetzt – vor allem mit Erpressung. Denn: Immer mehr Unternehmen sind von Datendiebstahl, Spionage und Sabotage betroffen und werden nach einem digitalen Angriff zu Zahlungen in Millionenhöhe aufgefordert. Die Schäden können enorm sein und von Betriebsunterbrechungen bis zu Datenverlusten reichen. Ab Oktober 2024 gelten in allen Mitgliedsländern der Europäischen Union strengere Cybersicherheitsstandards zum Schutz der digitalen Infrastruktur. Die neuen Regelungen, die auf der EU-Richtlinie NIS2 (Netz- und Informationssysteme) basieren, verpflichten Unternehmen in kritischen Sektoren zu umfassenden Maßnahmen gegen Cyberangriffe. Um Unternehmen, Vereine und öffentliche Einrichtungen dabei bestmöglich zu unterstützen, veranstaltete das Bundesministerium für Inneres gemeinsam mit der Wirtschaftskammer, der IV, dem Land Kärnten und dem Silicon Alps Cluster eine Informationsveranstaltung, die auf großes Interesse stieß.

Fit für NIS2

Warum Unternehmen jetzt handeln sollten und welche Schritte sie unternehmen müssen, um den Anforderungen von NIS2 gerecht zu werden – darüber referierte Caroline Schmidt, Programmdirektorin EU-Cybersicherheitspaket im Bundesministerium für Inneres (BMI). In zwei parallel stattfindenden Workshops informierte ein Expertenteam des BMI über die Themenkomplexe NIS2 und RKE. Schmidt: „Die NIS2-Richtlinie erweitert die Cyber-Sicherheitsanforderungen, während die RKE-Richtlinie speziell die Widerstandsfähigkeit kritischer Infrastrukturen stärkt. Das Gesetz dazu ist gerade in Begutachtung und soll im Oktober dieses Jahres umgesetzt werden."Das BMI sieht die Umsetzung der beiden Richtlinien als Chance, die Resilienz in Österreich und der EU zu erhöhen. Dass auch das beste Sicherheitssystem blinde Flecken hat, musste das Land Kärnten im Mai 2022 erfahren, als ein Cyberangriff das Landesnetz wochenlang lahmlegte. „Wir evaluieren unsere Sicherheitsprozesse regelmäßig und setzen Maßnahmen, um etwaige Lücken zu schließen. NIS2 sollte nicht nur als gesetzliche Notwendigkeit gesehen werden, sondern auch als Chance, die eigene Cyber-Sicherheit und Resilienz zu stärken“, so Christian Inzko, Leiter der Landes-IT.

Jetzt für Cybersicherheit rüsten

Für WK-Präsident Jürgen Mandl sind die neuen Regelungen ein wichtiger Schritt, um die digitale Infrastruktur des Landes besser vor Cyber-Angriffen zu schützen und die Reaktionszeit zu verkürzen. „Unternehmen, die sich jetzt auf die neuen Anforderungen einstellen, sind für die Zukunft der Cybersicherheit gut gerüstet und haben einen Wettbewerbsvorteil. Sie sollten sich daher jetzt informieren, wir haben einen großen Expertenpool im Haus, der unsere Mitgliedsunternehmen bei der Umsetzung der neuen Regeln unterstützt.“

Auch für Claudia Mischensky, Geschäftsführerin der Industriellenvereinigung Kärnten, ist der vorliegende Entwurf zur Umsetzung der NIS2-Richtlinien ein wichtiger Schritt: „Unsere Industriebetriebe haben in den vergangenen Jahren einen richtigen Digitalisierungsschub erlebt. Und die Gewährleistung eines hohen Sicherheitsniveaus der Netz- und Informationssysteme liegt im ureigensten Interesse der Unternehmen und ist eine zentrale Aufgabe für Staat, Wirtschaft und Gesellschaft. Die Industrie ist bereit, Verantwortung zu tragen, und notwendige Schritte für mehr Cybersicherheit aktiv und in enger Abstimmung mit den Behörden voranzutreiben.“

Wer von NIS2 betroffen ist

Große und mittlere Unternehmen in den Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur – um nur einige zu nennen, sind von NIS2 betroffen.  Kleinere Unternehmen mit einem Jahresumsatz oder einer Jahresbilanzsumme von höchstens 10 Millionen Euro, fallen nicht unter NIS2. Aber Vorsicht: Kleine Unternehmen können in Ausnahmefällen auch unter die NIS2 fallen. Wer Dienstleister oder Lieferant eines NIS2-betroffenen Unternehmens ist, ist indirekt betroffen. „Der Kunde wird an den Lieferanten herantreten und vertraglich festlegen, dass dieser je nach Risiko bestimmte Sicherheitsanforderungen erfüllt. Darüber hinaus kann der Kunde weitere Maßnahmen und Nachweise verlangen“, erklärt Marc Gfrerer, IT-Berufsgruppensprecher. Die Fachgruppe UBIT empfiehlt, mit der Umsetzung der Regelungen im Unternehmen möglichst rasch zu beginnen, da die geforderten Maßnahmen eine entsprechende Vorlaufzeit benötigen.  Gfrerer: „Wir haben ein Expertenteam, das die Mitglieder bei allen Fragen unterstützt. Man darf auch nicht vergessen, dass NIS2 eine wertvolle Chance ist, sich auf ganz reale Cyber-Risiken vorzubereiten, bestehende Sicherheitsmaßnahmen kritisch zu hinterfragen und Prozesse zu optimieren."

Was es zu beachten gilt

Neben dem Risiko von Geldbußen birgt NIS2 auch ein Haftungsrisiko. Gfrerer: „Geschäftsführer und Vorstände werden bei Verstößen persönlich zur Verantwortung gezogen. Bei Aktiengesellschaften haftet der gesamte Vorstand. Unternehmen müssen Cybersicherheit nachweislich in der Geschäftsführung verankern und ein Informationssicherheits-managementsystem (ISMS) mit Vorgaben für IT und Mitarbeiter etablieren, angelehnt an ISO 27001. Auch Mitarbeiter-Schulungen und IT-Notfallpläne sind verpflichtend."

Eines muss allen bewusst sein. Wer Digitalisierung vorantreibt, muss auch die Cyber-Sicherheit im Blick haben. „Dieses Prinzip verfolgt die Europäische Kommission mit ihrem neuen Cyber-Sicherheitspaket. Der plötzliche Stillstand kritischer Einrichtungen durch physische oder digitale Angriffe stellt ein ernstes Szenario dar. Daher ist es unerlässlich, jetzt Maßnahmen zum Schutz wesentlicher und wichtiger Dienste zu ergreifen und die Zusammenarbeit innerhalb der EU zu verstärken, um auf mögliche Bedrohungen vorbereitet zu sein. Die Unterstützung und schnelle nationale Umsetzung des Cyber-Sicherheitspakets sind deshalb von großer Bedeutung“, so Schmidt abschließend.

Detaillierte Informationen rund um das Thema NIS2-RKE finden Sie unter.