Cybersicherheitsrichtlinie NIS2
NIS2 - das steckt dahinter
Lesedauer: 3 Minuten
Sie haben bereits versucht, sich durch ausführliche und schwer zu lesende Rechtstexte zu quälen, um sich über die neue Sicherheitsrichtlinie NIS2 zu informieren? Damit ist vorerst Schluss – denn wir haben Experten in Sachen Cybersecurity befragt.
Vorbereitung auf NIS2
Der zertifizierte Datenschutzbeauftragte Ludwig Notsch rät als ersten Schritt sich anzusehen, ob die eigene Firma überhaupt von der Sicherheitsrichtlinie betroffen ist (hier geht’s zum Onlinecheck). „Falle ich in den direkten Anwendungsbereich der Richtlinie oder bin ich indirekt davon betroffen? Stichwort Lieferkette. Ich bin nicht direkt betroffen, aber die große Mutterfirma“, so Notsch. Er bezeichnet solche Lücken als „das offene Gartenzauntürl“. Dieser erste Schritt obliegt der eigenen Verantwortung.
Als nächstes sollte sich das Unternehmen die Frage stellen, wie es mit bestehenden Vorkehrungen bezüglich Cybersicherheit aussieht. Gibt es bereits Backups Ihrer Daten? Auf welchem Wissensstand sind Ihre Mitarbeitenden? Gelangen Außenstehende über ein Gäste-Wlan ins Firmennetzwerk? Ludwig Notsch meint dazu: „Was man unbedingt berücksichtigen soll und oft vergessen wird, sind Partner:innen, Dienstleister:innen, Kund:innen. Wie sieht es da aus?“ Er rät allen, sich als Teil eines großen Ganzen zu sehen und sich auch um die Lieferkette zu kümmern.
Hilfestellung zu diesen beiden ersten Schritten bietet die Wirtschaftskammer Kärnten, bei der kostenlos ein Termin zur NIS2 Beratung vereinbart werden kann.
Rolle der Mitarbeitenden
„Wiederholung erfreut!“ So startet Ludwig Notsch seine Antwort auf die Frage, welche Rolle die Mitarbeitenden bei NIS2 spielen. Denn es ist wichtig, die Angestellten regelmäßig in Sachen Cybersicherheit zu schulen. „Zwielichtige E-Mails konnte man in der Vergangenheit anhand der Rechtschreibung noch erkennen. Heute sind solche Mails hochprofessionell und die Wahrscheinlichkeit, dass man da hineinfällt, ist riesig. Und sie ist jeden Tag nonstop gegeben.“ Notsch spricht die nackte Wahrheit aus. Denn schnell ist eine Lücke da, durch die ein Cyberkrimineller hindurchschlüpfen kann. Deshalb raten wir: Awareness schaffen!
Künftige Entwicklung
Wie kann ein Unternehmen sicherstellen, dass seine Cybersicherheitsstrategie auch zukünftig anpassungsfähig und aktuell bleibt? Cybersicherheit ist ein laufender Prozess, und daher sollten Schulungen und Maßnahmen zu diesem Thema nie zum Stillstand kommen. Und auch wenn die Firma von NIS2 nicht aktiv betroffen ist, ist es nie verkehrt, zumindest ein kleines Sicherheitssystem aufzuziehen.
„Es ist niemand zu 100% vor Cyberattacken gefeit“, sagt Notsch. Beginnen Sie auf alle Fälle JETZT mit den Vorkehrungen, auch wenn das österreichische NIS-Gesetz erst noch beschlossen werden muss. In der Zwischenzeit ist die EU-Richtlinie direkt anwendbar.
Vor allem, weil kein Unternehmen allein steht – im Netzwerk sind alle miteinander verknüpft. Entscheidungen, aber auch Fehler und Lücken betreffen auch andere.
Wir starten ganz am Anfang: Das zentrale Thema der neuen Richtlinie der Europäischen Union ist die Cyber- und Informationssicherheit in Betrieben. Sie soll helfen, den Sicherheitsstandard der Unternehmen zu intensivieren und künftig up to date zu halten. Die bereits vor ein paar Jahren veröffentliche NIS1 Richtlinie ist somit immer noch gültig und wird durch NIS2 bloß erweitert. Das Ziel soll sein, unternehmensinterne Daten vor (gefährlichen) Außenstehenden zu schützen.
Obwohl NIS2 gesetzlich festgelegt ist, sollte es Betrieben auch ein eigenes Anliegen sein, möglichst wenig Schlupflöcher in Sachen Datensicherheit vorzuweisen. Denn Cyberkriminelle konzentrieren sich meist nicht auf ein bestimmtes Ziel, sondern attackieren ALLE und sehen, welchen Nutzen sie woher ziehen können. Das könnte im schlimmen Fall eine Verschlüsselung der Daten sein, die erst nach Erhalt erpressten Geldes wieder aufgehoben wird. In der Zwischenzeit hat das Unternehmen keinen Zugriff auf Programme, Bedienungen oder andere Daten.
NIS2 kümmert sich um die Vorbereitung auf solche möglichen Angriffe UND um die Maßnahmen NACH einer eventuellen Cyberattacke. Eine 100 %-ige Sicherheit ist nie gegeben, aber durch die Einhaltung der empfohlenen Vorgehensweisen werden möglichst viele Sicherheitslücken geschlossen, um als Unternehmen schnell wieder handlungsfähig zu sein.