Der IT-Security-Fokustalk klärte am 17. Mai 2023 auf, welche Unternehmen von der Cybersicherheits-Richtlinie betroffen sind und was sie zu tun haben. In einem Punkt waren sich alle einig: Betroffene sollen sofort mit der Umsetzung beginnen.
Stellen Sie sich vor, Sie kommen ins Büro und finden am Bildschirm diese Nachricht: „WARNING, alle your files are encrypted!“ Cyberattacken wie diese sind mittlerweile Realität: Im vergangenen Jahr gab es dazu 60.195 Anzeigen, 2021 waren es erst 46.179. Das hat auch die EU erkannt und NIS2 beschlossen. Diese neue Cybersicherheits-Richtlinie gilt ab Oktober 2024 und bringt für Unternehmen bestimmter Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen. Die Fachgruppe UBIT lud daher gemeinsam mit dem „Software Internet Cluster“ zur Hybrid-Veranstaltung „NIS2: Wer ist betroffen und was ist zu tun?“
Aber was ist NIS2?
„NIS2 verlangt von bestimmten Unternehmen Risikomanagementmaßnahmen wie Konzepte für Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Backupmanagement und Schulungen von Mitarbeiter:innen“, erklärte Verena Becker, Cybersicherheitsexpertin in der Bundessparte IC. Lieferketten und Abhängigkeiten von Partnerunternehmen müssen ebenso berücksichtigt werden. Auch die Meldepflichten sind streng: „Bei Cybersicherheitsvorfällen müssen Unternehmen die Behörde innerhalb von 24 Stunden zum ersten Mal informieren. Innerhalb von drei Tagen ist der Behörde eine ausführliche Einschätzung zu übermitteln.“ Nach einem Monat soll dann ein Abschlussbericht gesendet werden.
Wer ist von NIS2 betroffen? Indirekt alle Unternehmen!
Unternehmen unter 50 Mitarbeiter:innen in Vollzeit können vorerst aufatmen. Sie betrifft NIS2 nur, wenn sie in einem sogenannten kritischen Bereich arbeiten. Ob Ihr Betrieb aber tatsächlich betroffen ist, zeigt Ihnen der Onlineratgeber https://ratgeber.wko.at/nis2 der Wirtschaftskammer. Becker sieht unabhängig von NIS2 Herausforderungen für jedes Unternehmen: „Wenn ich Schadsoftware an ein anderes Unternehmen weitergebe, kann ich schadenersatzpflichtig werden. Und das ist von den möglichen Folgekosten viel schlimmer als die Strafen bei NIS2!“ Zudem hinterfragen Versicherungen schon jetzt bei Cyberattacken ganz genau, ob entsprechende Sicherheitsmaßnahmen im Unternehmen vorliegen. Die geschädigten Unternehmen schauen dann oft durch die Finger.
Verena Becker – Cybersicherheitsexpertin in der Bundessparte Information und Consulitng / Wirtschaftskammer Österreich
Cybersecurity ist Chefaufgabe
Auf das Topmanagement kommt laut Becker neue Verantwortung zu: „Leitungsorgane haften persönlich und müssen eine Schulung in diesem Bereich nachweisen.“ Die Strafen bei Nichteinhalten sind hoch: Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes bei „wesentlichen“ Organisationen, bei „wichtigen“ Unternehmen sind es 7 Millionen Euro bzw. 1,4 Prozent des Jahresumsatzes. Ob Strafen in dieser Höhe ausgesprochen werden, ist aber unklar. Ebenso unklar ist, ob sich Unternehmen selbst bei der Behörde melden müssen, wenn Sie NIS2 betrifft.
Rene Schmid – Fachbereichsleitung Information Security, CISO Stadtwerke Klagenfurt
Geben Sie Gas, wenn Cybersecurity für Sie Neuland ist
Rene Schmid kennt als CISO der Stadtwerke Klagenfurt NIS aus jahrelanger Erfahrung: „Die Stadtwerke Klagenfurt waren schon von NIS1 betroffen.“ Allein in die Umsetzung dieser Richtlinien sind 3.500 interne Arbeitsstunden geflossen. „Dabei haben wir 2015 in unsere IT investiert und alles inhouse neu aufgebaut. Daher waren wir gut vorbereitet.“ Wenn sich jemand bislang mit Cybersecurity überhaupt nicht beschäftigt hat, muss er Gas geben. Und Schmid gab gleich einen weiteren Tipp mit: „Vorher haben wir mit Excel gearbeitet. Jetzt haben wir ein Risikomanagementtool und können die professionelle Vorgehensweise nur empfehlen.“
Thorsten Jost – Zertifizierungsauditor und qualifizierter Prüfer NIS und Geschäftsführer secriso Consulting GmbH
So gehen die Prüfer vor
Thorsten Jost ist Zertifizierungsauditor und qualifizierter Prüfer für NIS2. Und er sagt für betroffene Unternehmen viel Arbeit voraus: „Es ist eine strenge Prüfung, weil wir Einsichtnahmerecht in alle betroffenen Bereiche haben.“ Nach seiner Erfahrung werden bei Prüfungen die Regelungen wie Richtlinien und Vorgaben durchleuchtet, die sämtliche Sicherheitsthemen abdecken. „Es wird nicht helfen, es nur auf dem Papier zu haben. Es muss auch gelebt werden.“ Und auch die Lieferantenkette ist ein wesentlicher Punkt. Jost versuchte die Unternehmen ob der Menge an Hausaufgaben zu trösten: „Für die Prüfer fällt auch viel Arbeit an.“
Vorgehensweise bei NIS2:
- Nutzen Sie die Services der Wirtschaftskammer (Links siehe unten) und überprüfen Sie, ob Sie betroffen sind.
- Sind Sie betroffen, überlegen Sie, ob Sie die Aufgaben selbst umsetzen können. Hilfe bietet das deutsche BSI mit sehr viel fachlichen Inputs. Ansonsten sind externe Berater eine Möglichkeit. Egal ob Sie es allein umsetzen oder aber mit einem externen Berater: NIS2 so einzuführen, dass es das gesamte Unternehmen auch lebt, kostet Zeit.
Das Thema brennt!
Gastgeber Marc Gfrerer empfahl daher in seiner Funktion als IT-Berufsgruppensprecher und SIC-Vertreter abschließend: „Das Thema brennt, wie die 60 Teilnehmenden heute zeigen. Beginnen Sie also so schnell wie möglich mit den Vorbereitungen“ Eine Vielzahl der Unternehmen wisse aber nach Einschätzung von Gfrerer noch gar nicht, dass sie betroffen ist. „Wir rechnen mit 4.000 Betrieben, wobei die Lieferanten hier gar nicht berücksichtigt sind.“
Wichtige Links zu NIS2:
- Allgemeine Informationen: https://wko.at/nis2
- Onlineratgeber https://ratgeber.wko.at/nis2
- https://it-safe.at: Suche nach IT-Security-Expert:innen
Marc Gferer – IT-Berufsfgruppensprecher / Vorsitzender Software Internet Cluster
NIS2 bedeutet ein großes Arbeitspensum. Als IT-Dienstleister ist man bestrebt, alle Kriterien zu erfüllen, weil damit das eigene Unternehmen steht und fällt. Ich muss mir bewusst sein, dass ich ein großer Risikofaktor für die Kundschaft bin. Bei einem Fehler können 30 oder noch mehr Betriebe betroffen sein. IT-Dienstleister müssen deshalb herausfinden, welche Kriterien wichtig sind. Das ist aber noch nicht alles – sie müssen anschließend interne Richtlinien festlegen und sie dokumentieren. Und dann muss sie das ganze Team auch leben. Was viele kleine IT-Unternehmen vergessen: Mit ihren Dienstleistungen sind sie schnell ein Rechenzentrum. Und dann sind sie schon von NIS2 betroffen.
Holger Schmitz – Sprecher der ExpertsGroup IT-Security und Leiter der Fokusgruppe für IT-Security im Software Internet Cluster