IT-Verantwortliche werden im kommenden Jahr mit einer Herausforderung konfrontiert: der NIS2-Richtlinie für bessere IT-Sicherheit. Jüngste Krisen zeigten, wie sensibel unsere Gesellschaft und Wirtschaft auf unerwartete, digitale Risiken reagieren.
Die Europäische Kommission prüfte deshalb die bestehende NIS-Richtlinie und stellte fest, dass die Cyberresilienz von Unternehmen, Mitgliedsstaaten und Wirtschaftssektoren nicht ausreicht. Diese Mängel gleicht die NIS2-Richtlinie aus. Sie stellt neue Anforderungen an Unternehmen in vier Hauptbereichen: Risikomanagement, Unternehmensverantwortung, Meldepflichten und Geschäftskontinuität.
Vor allem Fachleute im Bereich der IT-Sicherheit müssen sich mit den Anforderungen dieser Richtlinie vertraut machen und entsprechende Maßnahmen zur Umsetzung planen.
Kann man das Ziel der NIS2-Richtlinie zusammenfassen?
Das Ziel der Richtlinie ist es, die Cyberresilienz am EU-Binnenmarkt zu stärken – sowohl von Unternehmen, als auch der Gesellschaft.
An welchen Punkten setzt die Richtlinie an?
Das ist eine komplexe Materie. Die juristisch korrekte Formulierung wäre: Mittlere und große Unternehmen bestimmter kritischer Sektoren ab 50 Mitarbeiter:innen oder ab 10 Mio. Euro Jahresumsatz. Betroffen sind grundsätzlich Unternehmen bestimmter kritischer Sektoren. Das können ganz verschiedene Unternehmen sein: ein mittleres Maschinenbauunternehmen, ein mittlerer Lebensmittelproduzent, ein Automotivzulieferer, ein Krankenhaus, ein Energieversorger, aber auch Bereiche der öffentlichen Verwaltung – vorausgesetzt sie haben mehr als 50 Mitarbeiter:innen.
Wie wird die Richtlinie schlagend? Welche Maßnahmen erwarten die österreichischen Unternehmer:innen?
Das steht noch nicht fest. Die EU-Richtlinie muss bis 17. Oktober 2024 in einem nationalen Gesetz umgesetzt werden. Allerdings wissen wir noch nicht, ob sich das ausgeht. Mitte März stellt sich heraus, ob der Gesetzgeber das schafft oder nicht.
NIS2-Richtlinie
Wie darf man sich eine Richtlinie inhaltlich vorstellen?
Die Richtlinie gibt vor, dass ich eine Risikoanalyse im Unternehmen machen muss und entsprechende Sicherheitsmaßnahmen umsetze. Außerdem gibt sie Meldepflichten vor, wenn ich erhebliche Sicherheitsvorfälle habe.
Kann man schon abschätzen, welche Aufwände auf Unternehmer:innen zukommen?
Es werden auf jeden Fall hohe Aufwände sein. Das ist abhängig vom Reifegrad des Unternehmens: Wo stehe ich bei Cybersicherheit und was habe ich bisher in diesem Bereich gemacht? Welche Maßnahmen habe ich schon getroffen? Die Richtlinie wird personelle und finanzielle Ressourcen erfordern. Welche Kosten auf das jeweilige Unternehmen zukommen, ist unterschiedlich. A1 oder Flughafen Wien werden andere Vorkehrungen treffen müssen als ein mittelgroßer Getränkegroßhändler.
Angenommen Sie wären CIO oder Cybersicherheits-Verantwortlicher in einem dieser UN: Können Sie Inforessourcen empfehlen, wenn man up-to-date bleiben möchte?
An dieser Stelle möchten wir auf die Services der WKÖ verweisen:
- Auf WKO.at finden Sie alle relevanten Informationen zu NIS2
- Mittels eines Online-Ratgebers können Sie herausfinden, ob Sie von NIS2 betroffen sind –
- Informationen zu Cybersicherheit finden Sie außerdem auf der Seite der Initiative “IT safe”
Außerdem gibt es Förderungen für NIS2-betroffene Unternehmen: Cyber Security Schecks(FFG)
