Cybersicherheit-Richtlinie der EU : Wie wirkt sich NIS-2 auf Ihr Unternehmen aus?
Prof. (FH) Univ.-Doz. DI Dr. Ingrid Schaumüller-Bichl ist Leiterin des Information Security Compliance Centers der FH OÖ, Professorin an der FH OÖ; Vorstandsmitglied der OCG, österreichische Repräsentantin in IFIP TC11 sowie Mitglied der Permanent Stakeholders Group (PSG) der ENISA und der Arbeitsgruppe 001/27 IT-Sicherheit im Austrian Standards Institute.
- © FH Oberösterreich„NIS-2 steht nicht alleine da – die EU schafft auch viele andere Richtlinien, die alle ein gemeinsames Ziel haben: ein hohes gemeinsames Cybersicherheitsniveau in der Union", erklärt Ingrid Schaumüller-Bichl (FH OÖ und OCG). Jeder von uns ist auf sichere Lieferketten, verlässliche Wasser- und Stromversorgung sowie den Schutz unserer Infrastruktur und wichtiger Branchen angewiesen. Deshalb ist es auch in unser aller Interesse, für Sicherheit zu sorgen – dazu sind Normen, Standards und Gesetze da.
Verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen sind nicht neu, aber mit der Cybersicherheits-Richtlinie NIS-2 wird es wesentlich mehr betroffene Firmen und Organisationen geben. Die EU verspricht sich mit der Richtlinie mehr Resilienz für die gesamte Infrastruktur als Basis für das Funktionieren des EU-Binnenmarktes.
Generell werden alle NIS-1-Betroffenen auch von der NIS-2 betroffen sein, die Nomenklatur ändert sich aber: In Zukunft gibt es einen erweiterten Kreis sogenannter Wesentlicher Einrichtungen und viele neue Bereiche mit Wichtigen Einrichtungen. Derzeitige Schätzungen gehen von ca. 900 Wesentlichen Einrichtungen und ca. 2.500 Wichtigen Einrichtungen in Österreich aus.
Notwendigkeit und Wettbewerbsvorteil
Bis zum 17. Oktober 2024 muss die Richtlinie national umgesetzt werden – d. h. alle betroffenen Einrichtungen müssen Cybersicherheits-Risikomanagementmaßnahmen ergreifen, sie habe eine Berichtspflicht und neu ist die Verantwortung des Managements für Umsetzung und Überwachung der Maßnahmen. Zur Durchsetzung sind Verwaltungssanktionen vorgesehen, wobei zuerst wahrscheinlich abgemahnt werden wird und die Bußgelder nicht das Hauptproblem werden dürften.
Allerdings drohen über das Zivilrecht für die Firmen Schadensersatzforderungen, falls es zu Vorfällen kommen sollte, die Dritte betreffen. Eine Motivation zur gewissenhaften Umsetzung ist sicher auch die Tatsache, dass in Zukunft leitende Angestellte für Pflichtverletzungen haftbar gemacht werden können. „Ohne Brandschutz keine Baugenehmigung – ohne IT-Sicherheit für viele keine Beteiligung am EU-Binnenmarkt“, so Stefan Bumerl von Cryptas.