Consequences of NIS-2 for your enterprise
Jeder von uns ist auf sichere Lieferketten, verlässliche Wasser- und Stromversorgung sowie den Schutz unserer Infrastruktur und wichtiger Branchen angewiesen. Deshalb ist es auch in unser aller Interesse, für Sicherheit zu sorgen – dazu sind Normen, Standards und Gesetze da.
„NIS-2 steht nicht alleine da – die EU schafft auch viele andere Richtlinien, die alle ein gemeinsames Ziel haben: ein hohes gemeinsames Cybersicherheitsniveau in der Union", erklärte Ingrid Schaumüller-Bichl (FH OÖ und OCG), die durch die Veranstaltung führte.
Mit NIS-2 Vervielfachung der Betroffenen
Verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen sind nicht neu, aber mit der Cybersicherheits-Richtlinie NIS-2 wird es wesentlich mehr betroffene Firmen und Organisationen geben. Die EU verspricht sich mit der Richtlinie mehr Resilienz für die gesamte Infrastruktur als Basis für das Funktionieren des EU-Binnenmarktes.
Die Österreichische Computer Gesellschaft, als Qualifizierte Stelle nach dem NIS-Gesetz, organisierte im März gemeinsam mit CRYPTAS in Linz und in Wien zwei Veranstaltungen zur NIS-2-Richtlinie mit wertvollen Informationen aus erster Hand.
„Ohne Brandschutz keine Baugenehmigung – ohne IT-Sicherheit für viele keine Beteiligung am EU-Binnenmarkt“, so Stefan Bumerl von Cryptas.
„Besser schon gestern beginnen. Jetzt starten! Wer früher dran ist, ist im Vorteil.“
Alle Sprecherinnen und Sprecher der Veranstaltungen waren sich darin einig, dass die Zeit drängt. Arno Spiegel vom Bundeskanzleramt hob in seinem Beitrag besonders die Lieferkettensicherheit hervor, erläuterte Risikomanagementmaßnahmen und die Frage, welche Sektoren betroffen sind. Bei der Veranstaltung in Linz verwies Verena Becker von der Wirtschaftskammer Österreich in diesem Zusammenhang auf den sehr hilfreichen Online-Ratgeber der WKO.
Generell werden alle NIS-1-Betroffenen auch von der NIS-2 betroffen sein, die Nomenklatur ändert sich aber: In Zukunft gibt es einen erweiterten Kreis sogenannter Wesentlicher Einrichtungen und viele neue Bereiche mit Wichtigen Einrichtungen. Derzeitige Schätzungen gehen von ca. 900 Wesentlichen Einrichtungen und ca. 2.500 Wichtigen Einrichtungen in Österreich aus.
Notwendigkeit und Wettbewerbsvorteil
Bis zum 17. Oktober 2024 muss die Richtlinie national umgesetzt werden – d. h. alle betroffenen Einrichtungen müssen Cybersicherheits-Risikomanagementmaßnahmen ergreifen, sie habe eine Berichtspflicht und neu ist die Verantwortung des Managements für Umsetzung und Überwachung der Maßnahmen. Zur Durchsetzung sind Verwaltungssanktionen vorgesehen, wobei zuerst wahrscheinlich abgemahnt werden wird und die Bußgelder nicht das Hauptproblem werden dürften. Allerdings drohen über das Zivilrecht für die Firmen Schadensersatzforderungen, falls es zu Vorfällen kommen sollte, die Dritte betreffen. Eine Motivation zur gewissenhaften Umsetzung ist sicher auch die Tatsache, dass in Zukunft leitende Angestellte für Pflichtverletzungen haftbar gemacht werden können.
Moderiert von Ingrid Schaumüller-Bichl (FH OÖ und OCG) diskutierten die Vortragenden Verena Becker (WKO) bzw. Arno Spiegel (Bundeskanzleramt), Wolfgang Resch (OCG), Thomas Pfeiffer (Linz Netz), Stefan Bumerl (CRYPTAS), Martin Gegenleitner (Thales) und Roman Tober (EY) u. a. über die Unterschiede der Anforderungen von NIS-2 und ISO 27001-Zertifizierung und darüber, wie der geforderte hohe Standard für alle Betriebe erreichbar sein kann. Ein möglicher Weg, um die vorgeschriebenen Sicherheitsanforderungen und den Reifegrad zu erfüllen, könnte der Zusammenschluss von Firmen sein, so wie es in der Vergangenheit in der Auto- bzw. Flugzeugindustrie der Fall war, sind einige Panelteilnehmer*innen überzeugt. Heute ist es schließlich auch nicht mehr möglich, sich in der Scheune selbst ein Auto zu bauen und damit einfach loszufahren.