Holger Schmitz, IT-Experte
© Helge Bauer
Holger Schmitz, Sprecher der IT-Security-Experts Group – Kärnten, spricht im Interview mit advantage über das Thema Cyber Security und die neue NIS2-Richtlinie.
advantage: Warum ist Cyber Security ein zentraler Faktor für jedes Unternehmen?
Holger Schmitz: Das Internet und die neuen Technologien haben die Art und Weise der Kommunikation weltweit verändert. Ob Home-Office, Datenspeicher in der Cloud oder das Internet der Dinge. All diese Services funktionieren nur dank des Internets. Allerdings haben die aktuellen Technologien und ihre weit verbreitete Nutzung auch neue Bedrohungen gebracht. Business-E-Mail Compromise oder Romance Scams sind nur zwei Beispiele für aktuelle Cyberangriffe, mit denen Unternehmen heute konfrontiert werden. Um ihre Mitarbeiter:innen, Abläufe, Netzwerke und Daten zu schützen, müssen Firmen effektive Cybersicherheitsrichtlinien und Werkzeuge einführen, denn Cyberangriffe werden in absehbarer Zeit nicht aufhören. Der Anstieg bei dem Angriffsziel Informations- und Kommunikationstechnologien (IKT) im engeren Sinn, der gemeldeten bzw. zur Anzeige gebrachten Fälle, liegt 2022 bei 44,5%. Cyber Security ist ein abstraktes Thema. Viele Unternehmen können die Risiken eines Angriffes auf Ihre Daten nicht abschätzen. Cybercrime ist heute eine Wachstumsbranche, in der Anbieter ihre ‚Services‘ wie Dienstleistungen – „Cybercrime as a Service“ – anbieten und verkaufen. Während die Kriminellen noch vor einigen Jahren vor allem auf ungezielte Massenangriffe setzten, gehen sie heute wesentlich gezielter vor und bereiten ihre Angriffe von langer Hand vor. Die wenigsten Unternehmen haben ein Konzept bzw. Strategiepapier, wie sie bei einem Ausfall der eigenen Informationstechnologie, zumindest eine Woche, ohne ihre digitalen Daten überleben können.
Holger Schmitz, IT-Experte
© Helge Bauer
Welche Neuerungen bringt die NIS2-Richtlinie mit sich und sind alle Unternehmen gleichermaßen betroffen?
NIS steht für „Network and Information Security“. Die europäische NIS2-Richtlinie, welche seit Jänner 2023 in Kraft ist und bis 17. Oktober 2024 in Österreich umgesetzt werden muss, bringt neue und strengere Vorschriften zur Cybersicherheit für viele Unternehmen. Betriebe sollten nicht pauschal davon ausgehen, dass das eigene Unternehmen vom Geltungsbereich der NIS2 ausgenommen ist, nur weil es nicht unter die ursprüngliche NIS-Richtlinie gefallen ist. Die derzeit geltenden Regelungen betreffen vorwiegend Unternehmen der kritischen Infrastruktur und Anbieter digitaler Dienste. Mit NIS2 werden weit größere Teile der Wirtschaft eingebunden, die Regelung erstreckt sich nun auf 18 Sektoren, sowohl im öffentlichen als auch im privaten Bereich. Bisher waren Unternehmen der kritischen Infrastruktur und Anbieter digitaler Dienste wie z. B. Internetserviceprovider bzw. Rechenzentrumanbieter betroffen. Die Gesetzgebung richtet sich nun an Betriebe in gesellschaftlich relevanten Bereichen, wobei hier zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen unterschieden wird. Die Zuordnung erfolgt dabei anhand der Unternehmensgröße sowie des Tätigkeitsbereichs. Auch kleinere Betriebe können betroffen sein, wenn es sich um den einzigen Anbieter in Österreich handelt bzw. ein Ausfall erhebliche Konsequenzen für die Wirtschaft und öffentliche Versorgung hätte. Viel größer ist jedoch die Anzahl von Unternehmen, welche als Lieferant oder Dienstleister dieser wesentlichen und wichtigen Einrichtungen indirekt davon betroffen sind. Einrichtungen der öffentlichen Verwaltung sowie bestimmte digitale Dienste fallen unabhängig von ihrer Größe unter die NIS2-Richtlinie. Betroffene Unternehmen und Organisationen müssen die neuen Vorschriften bis spätestens Herbst 2024 erfüllen, sonst drohen hohe Geldbußen. Neben dem Risiko von Geldbußen besteht nun auch ein Haftungsrisiko. Geschäftsführer und Vorstände werden bei Verstößen persönlich zur Verantwortung gezogen. Tritt ein solches Ereignis ein, fällt es allen Beteiligten schwer, einen klaren Kopf zu bewahren. Deshalb macht es für Unternehmen Sinn, Vorkehrungen zu treffen. Ein Schnellcheck, ob ein Unternehmen unter die Richtlinie fällt, kann auf der WKO-Seite unter https://ratgeber.wko.at/nis2/ erfolgen.
Was bedeutet das konkret für Unternehmen bzw. was gilt es umzusetzen?
Die NIS2-Richtlinie soll die Widerstandsfähigkeit und die Reaktion auf einen Incident im öffentlichen Sektor und bei Privatunternehmen verbessern. Betriebe sind durch NIS2 verpflichtet, geeignete und verhältnismäßige technische operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der IT-Systeme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu verhindern bzw. möglichst gering zu halten. Die Richtlinie schreibt vor, die Sicherheitsmaßnahmen an den Stand der Technik sowie die individuelle Gefährdungslage anzupassen. Die Schutzmaßnahmen müssen zudem einem gefahrenübergreifenden Ansatz folgen, es gilt also nicht nur Cyberangriffe zu berücksichtigen, sondern alle Arten von Vorfällen, die die eigene IT-Umgebung und damit die Erbringung der wesentlichen Dienstleistung beeinträchtigen können. Die Absicherung von Informationssystemen ist eine komplexe Aufgabe, bei der es viele unterschiedliche Aspekte zu beachten gilt. Rund um die NIS2 Richtlinie gibt es noch einige Details zu klären, da die Überleitung der EU-Richtlinie in nationales Recht noch nicht erfolgt ist. Betroffene Organisationen sind jedoch nach Ablauf der Frist zur Umsetzung der geforderten Maßnahmen, vermutlich ab 18. Oktober 2024, verpflichtet.
WISSENSWERT
Risikoanalysen, die Kontrolle der eigenen Lieferkette, der Aufbau eines IT-Sicherheitsprogramms und die Auswahl geeigneter Security-Produkte benötigen viel Zeit. Unternehmen sind daher angehalten so rasch wie möglich nachfolgende Aufgabenliste abzuarbeiten und umzusetzen:
Bei Sicherheitsvorfällen ist die Behörde binnen 24 Stunden grob zu informieren, binnen drei Tagen muss eine ausführliche Meldung an die Behörde erfolgen, nach einem Monat ist ein Abschlussbericht zu übermitteln. Bei Nichterfüllung drohen Sanktionen bis zu 10 Mio. Euro oder 2 % des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Mio. Euro oder 1,4 % des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen. Geschäftsführung bzw. der Vorstand haften mit seinem Privatvermögen für Verstöße, wenn essenzielle Risikoabwägungen vernachlässigt oder ignoriert wurden.