2024 müssen mehr als 3.000 österreichische Unternehmen die neue Cybersicherheits-Direktive (#NIS2) der EU umsetzen. Wer das nicht tut, riskiert Millionenstrafen und Führungskräfte müssen persönlich haften.
Enorme Schäden von bis zu sechs Billionen Euro für die Weltwirtschaft und die breite Betroffenheit von potenziell jedem Unternehmen aus allen Branchen verleihen dem Thema Cyber- und IT-Sicherheit eine große Bedeutung.
Ganz konkret bedeutet das, auch kleinere und mittlere Unternehmen ab 50 Mitarbeitende und einem Umsatz von zehn Mio. Euro aus wesentlichen und wichtigen Sektoren sind von der Direktive betroffen. In Österreich geht man von mehr als 3.000 Unternehmen aus.
Die Anforderungen an die Unternehmen sind herausfordernd. Der Weg zur Umsetzung umfasst dabei vor allem folgende fünf Schritte:
- Wer ist betroffen? Die wichtigste Frage für Unternehmen ist, ist man von der Verschärfung betroffen. Waren Betriebe der kritischen Infrastruktur (Energie, Verkehr, Bankwesen, Trinkwasser, etc.) schon mit der früheren Direktive angesprochen, so wird die Regelung nun auf „wichtige Sektoren“ wie Post und Kurierdienste, Abfallbewirtschaftung, Chemie- und Lebensmittelindustrie sowie Forschung erweitert. Zu großen Unternehmen mit mehr als 250 Mitarbeitenden kommen nun auch KMU ab 50 Beschäftigten und einem Umsatz von zehn Mio. Euro hinzu.
- Registrierung der Unternehmen. Betroffene Unternehmen sind zur Registrierung bei der zuständigen Behörde verpflichtet. Das Procedere wird dabei voraussichtlich analog zur Handhabung in Deutschland sein und ein Assessment sowie die Auditierung der umgesetzten Maßnahmen erfordern.
- Strenge Berichtspflicht und harte Strafen. Die behördliche Registrierung geht mit einer strengen Berichtspflicht einher: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden, ein detaillierter Bericht hat bis zu 72 Stunden später zu erfolgen. Passiert das nicht, drohen Millionenstrafen – auch Führungskräfte sind mit NIS2 persönlich haftbar.
- Cybersecurity-Lücken identifizieren. Die Umsetzung von NIS2 bedeutet vorrangig die Identifizierung von Sicherheitslücken. Dazu braucht es eingehende Analysen, die Risikofehler erkennen und konkret benennen, aber auch definitive Maßnahmen zur Schadensbegrenzung. (wie etwa Backup- und Krisenmanagement, Notfallkommunikation oder auch Sicherheit bei Lieferketten, etc.)
- Vorgehen bei fehlenden Security-Maßnahmen. NIS2 verpflichtet Unternehmen zur Implementierung von Security-Tools. Dazu braucht es auch geschultes Personal. Ist für Unternehmen absehbar, dass dieses Know-how mit internem Personal nicht zur Verfügung steht, sollten sich Unternehmen rasch einen externen Dienstleister suchen, der hier verlässlich unterstützt.
Für Unternehmen kommen damit eine Reihe von Herausforderungen zu, die laufend berücksichtigt werden müssen. Dies klappt nur mit entsprechendem Know-how. Falls dies nicht intern verfügbar ist, sollte entsprechend Zeit eingeplant werden, um einen passenden Dienstleister auszuwählen. Weitere Infos gibt es etwa hier: Europäische NIS-2 Direktive.
Einen Überblick über Eviden Webinare gibt es auf der Website.