NIS-2 Umsetzungsgesetz : NIS-2-Richtlinie: Ist Ihr Unternehmen cyberfit?

Smarte und verknüpfte Maschinen, Echtzeit-Monitoring der Produktion, Arbeiten aus dem Homeoffice – die fortschreitende Digitalisierung hat die industrielle Produktion vielfach transformiert und neue Chancen geschaffen. IT-Lösungen sind heute in jedem Unternehmen allgegenwärtig und bringen gleichzeitig viele Risiken mit sich. Unternehmenskontinuität und die Sicherheit der sogenannten „kritischen Infrastruktur“, also all jene Prozesse und Anlagen, die für die Produktion unabdingbar sind, all das ist heute in einem hohen Maß von Cybersecurity abhängig.

Nie mehr die wichtigsten News aus Österreichs Industrie verpassen? Abonnieren Sie unser Daily Briefing: Was in der Industrie wichtig wird. Täglich um 7 Uhr in Ihrer Inbox. Hier geht’s zur Anmeldung!

Angesichts der zunehmenden Bedrohungen durch Cyberangriffe hat die Europäische Union reagiert, indem sie die geltende NIS-Gesetzgebung durch eine Novelle umfassend überarbeitet hat. Diese zielt darauf ab, die Informationssicherheit für den EU-Binnenmarkt und die mit diesem verbundenen Unternehmen weiter zu stärken.

Lohnt sich eine Cyberversicherung?

Das aktuelle österreichische NIS-Gesetz (NISG) von 2018 beruht auf der EU NIS(1)-Richtlinie aus 2016. Viele Mitgliedsstaaten, so auch Österreich, wurden durch diese Richtlinie erstmalig zum Erlass einer nationalen Strategie und eines Gesetzes zur umfassenden Betrachtung der Informationssicherheit veranlasst. Nach den ersten fünf Jahren Erfahrung lässt sich eine Liste der „häufigsten Mängel“ ableiten. Auf dieser stehen beispielsweise das Fehlen einer laufenden Information Security Management System (ISMS) Wirksamkeitsprüfung, eines vollständigen Asset Managements, einer Dokumentation gelebter Prozesse oder eines wirksamen Lieferanten-Managements.

Erfahren Sie mehr über die Security-Dienste für Unternehmen.

Die aktuelle NIS-Verordnung hat einen wesentlichen Beitrag zu mehr Informationssicherheit und zu einer höheren Aufmerksamkeit für dieses Thema geleistet. Betroffene Unternehmen haben zwar durchgängig ihre Schutzmaßnahmen verbessert, jedoch bleiben aus der NIS(1)-Periode noch viele Maßnahmen unerledigt und müssen im Sinne einer kontinuierlichen Verbesserung rasch umgesetzt werden. Es gibt noch viel zu tun – speziell deshalb, weil NIS-2 weitere Änderungen mit sich bringen wird.

Was ist die neue NIS-2-Richtlinie?

Die NIS-2-Richtlinie verstärkt die Harmonisierung auf EU-Ebene, um ein gleichmäßig hohes Sicherheitsniveau zu erreichen. Sie ist bis Oktober 2024 in nationales Recht umzusetzen und fördert speziell die Zusammenarbeit zwischen den Mitgliedsstaaten, weil Cyberangriffe als überstaatliches Problem betrachtet werden.

Lesen Sie mehr über Industrielle Cyber Security: das müssen Sie für Ihr Unternehmen wissen.

Der Anwendungsbereich wird aus österreichischer Sicht durch hinzukommende Sektoren, wie „Abwasserwirtschaft“, „Rechenzentrumsbetreiber“, oder „Produktion von bestimmten wichtigen Produkten“ erweitert.

NIS-2: Wer ist betroffen?

Künftig sind grundsätzlich alle Unternehmen in den genannten Sektoren ab 50 Mio. Euro Jahresumsatz und mehr als 50 Mitarbeitenden von NIS-2 Umsetzungsgesetz betroffen. Ausnahmen bestehen für digitale Infrastruktur und für einzelne für einen Mitgliedsstaat besonders wichtige Einrichtungen.

Die meist komplexe Umsetzung der vorgegebenen Mindestanforderungen bedingt beträchtliches Fachwissen und entsprechendes Personal. Allein die Etablierung einer Sicherheitskultur als Ausgangsbasis ist ein langfristiger Prozess und bedeutet eine kontinuierliche Anstrengung. Die richtigen Mitarbeitenden dafür bereitzustellen, stellt für Unternehmen oftmals eine Herausforderung dar – gerade in Zeiten des Fachkräftemangels. Für die neuen Meldevorschriften und die darin enthaltenen kurzen Fristen ist eine entsprechende Informationssicherheits-Organisation vorzusehen. Auch dafür ist mit einem erhöhten Fachkräfteeinsatz zu rechnen.

Lesen Sie auch dazu: Cybersecurity 2023: Mittlerweile jedes Unternehmen von Cyberkriminalität betroffen.

Mit den NIS-2-Regelungen werden nun nicht nur Großunternehmen, sondern auch mittlere Unternehmen oder kleine Dritt-Lieferanten zu Normadressaten. Diese in Österreich dominierenden Unternehmensgruppen müssen jedoch auf ihren Anteil an administrativen Ressourcen besonders achten, um wirtschaftlich wettbewerbsfähig zu bleiben.

Schon durch die NIS(1)-Gesetzgebung wurde ein großer Schritt in Richtung mehr Cyber-Resilienz gemacht. Allerdings müssen Unternehmen im Moment noch offene Punkte aus NIS1 abarbeiten und gleichzeitig stehen die neuen NIS-2-Anforderungen an.

Unternehmen müssen dafür Informationssicherheit stets „mitdenken“ – so wie das bei Datenschutz bereits üblich ist. Die Kosten für aufzubringende Ressourcen werden durch eine positivere Unternehmensreputation und andere Wettbewerbsvorteile langfristig aufgewogen werden.

Eine Externalisierung, die eine Ressourcenteilung ermöglicht, ist gerade bei knapper Expertenverfügbarkeit sinnvoll. Analysten, Forensiker, ISMS-Aufbaubegleitung, Prüfer, etc. werden in Unternehmen nicht ständig benötigt und können auch als externe Beratungsleistung zugekauft werden. So lassen sich die gesetzlichen Anforderungen zeitgerecht und effizient erreichen.

Unser Apell: Lenken Sie Ihren unternehmerischen Fokus auf Informationssicherheit und machen Sie das Thema zu einem Teil Ihres Unternehmenserfolgs! Act now!


Autoren

Roman Tobler (Foto) ist Senior Manager bei EY Österreich und beratet österreichische Unternehmen in Cybersicherheits-Fragen.

Tarik Camci und Benjamin Derler sind beide Senior Consultants bei EY Österreich und Teil des Cybersecurity-Teams.