NIS2-Richtlinie : Siemens-Experte Krammer empfiehlt Fitnessprogramm gegen Cyberangriffe

Martin Krammer: Weiterhin ist es das Ziel der EU, die Resilienz und Reaktion auf Cyberangriffe im öffentlichen und privaten Sektor zu verbessern. Bisher waren davon nur Unternehmen der sogenannten kritischen Infrastruktur in den Sektoren Energie, Verkehr, Bankwesen, Finanzmarkt, Gesundheit, Trinkwasser und Digitalisierung betroffen. Die darauf aufbauende und erweiterte NIS2-Richtlinie betrifft nun viele zusätzliche Bereiche.

Krammer: Die Branchen sind breitgefächert. Neben der erwähnten kritischen Infrastruktur zählen dazu Bereiche wie Post- und Kurierdienste, Abfallbewirtschaftung, Chemie- und Lebensmittelbranche oder etwa auch die verarbeitende und herstellende Industrie. Nicht von der NIS2-Richtlinie erfasst sind lediglich Unternehmen mit weniger als 50 Mitarbeitenden und – nicht oder! – weniger als 10 Millionen Euro Jahresumsatz.

Krammer: Das ist ein spannender Punkt: Bisher hat die Behörde die Unternehmen per Bescheid darüber informiert, dass Maßnahmen zu ergreifen sind. Das ist künftig nicht mehr so. Das heißt, jeder muss selbst beurteilen, ob sein Unternehmen unter die Richtlinie fällt. Die erforderlichen Maßnahmen wiederum sind auf Basis einer Risikoanalyse zu definieren.

Krammer: Alle betroffenen Unternehmen müssen sich binnen drei Monaten nach Inkrafttreten des Gesetzes registrieren. Ich nehme an, dass das für diese Agenden zuständige Innenministerium dafür eine Website einrichten wird.

In der Richtlinie selbst werden zehn Risikomanagement-Maßnahmen definiert, die umzusetzen sind. Das sollte man nicht auf die leichte Schulter nehmen. Geschäftsführer haften dafür persönlich. Abgesehen davon sind Anstrengungen für mehr Cybersecurity immer sinnvoll – egal ob mit oder ohne NIS2.

Krammer: Im ersten Schritt können Behörden die Unternehmen verpflichten, innerhalb von sechs Monaten nach einer entsprechenden Aufforderung eine Selbstdeklaration abzugeben. Darin sind die umgesetzten Maßnahmen auszuführen.

In einem zweiten Schritt nach der Selbstdeklaration müssen sogenannte „wesentliche Einrichtungen“ innerhalb von drei Jahren einen Prüfbericht von einer unabhängigen Stelle ausarbeiten lassen. „Wichtige Einrichtungen“ sind dazu erst nach einer gesonderten Aufforderung verpflichtet. Vorstellen kann man sich das ähnlich wie ein Audit bei einer ISO27001-Zertifizierung.

Krammer: Der Cybersecurity im Allgemeinen wird nach wie vor zu wenig Bedeutung beigemessen. Vielfach unterschätzen Unternehmen die Gefahren oder sie wissen nicht, wo sie anfangen sollen.

Wichtig ist es, zu beginnen. Erste Maßnahmen müssen immer zunächst jene Bereiche absichern, bei denen das größte Schadenspotenzial besteht. Andere Technikbereiche können dann nach und nach in das Sicherheitskonzept miteinbezogen werden.

Wie man sich vor Cyberangriffen schützt, war Thema des Cybersecurity@Siemens-Symposiums in der Wiener Siemens-City. Vertreter des Innenministeriums gaben ein Lagebild über Industriespionage in Österreich. Ernst & Young-Senior Manager Benjamin Derler informierte über die EU-Regulatorik in Sachen IT und das Zusammenspiel der einzelnen Normen.

Über „Marktvorsprung durch Cybersicherheit“ sprach AIT-Manager Helmut Leopold – weil die Umsetzung entsprechender Maßnahmen auch abseits gesetzlicher Vorgaben sinnvoll ist.