Kommentar: Klaus Lussnig : Dank NIS Direktive 2.0 kein Blackout im Jahr 2024!

Wir sind wieder zurück im Jahr 2022. Hier die wichtigsten Punkte nicht nur für die Betreiber kritischer Infrastrukturen:

  • Ausweitung des Anwendungsbereiches (Artikel 2) in zehn wesentliche und sechs wichtige Sektoren werden vorgeschlagen. Achtung: Nach der Empfehlung 2003/361/EG können Unternehmen, deren Anteile >25 Prozent in öffentlichen Hand liegen, nicht als KMU definiert werden und fallen somit auch unter die Prüfpflicht der Direktive.
  • Anbieter digitaler Infrastrukturen werden durch die NIS 2.0 jetzt ebenfalls eingebunden. Dies wird den Betreibern der kritischen Infrastrukturen erleichtern resiliente ITK-Dienste zu nutzen.
  • Hard- und Softwarehersteller müssen stärker die Sicherheit in den gelieferten informationstechnischen Systemen nach den Grundprinzipien der IT-Sicherheit (z.B. Security by Design) nachweisen.
  • Nach Artikel 19 soll eine Koordinationsgruppe beauftragt werden, die strukturiert und koordiniert Risikobewertungen von Lieferketten durchführt um Bedrohungen und Schwachstellen zu ermitteln.
  • Artikel 31, 33 beschreibt mögliche Geldbußen die jedoch auf ein Höchstmaß von 10 Mio. EUR begrenzt werden sollen.
  • Betreiber kritischer Infrastrukturen werden verpflichtet, erhebliche sowie potenzielle IT-Sicherheitsvorfälle zu melden. Sehr gut ist, dass in Artikel 20 Ziffer 3 eine eindeutige Definition von erheblichen Sicherheitsvorfällen vorgenommen wurde.

Das sind nur die wesentlichsten Punkte. Der Referentenentwurf der NIS Direktive 2.0 wird natürlich noch in einigen Punkten verändert werden. Doch der notwendige Wille aller Beteiligten ist vorhanden. Es wird nicht ernsthaft bestritten, dass aufgrund einer Cyberattacke auch Europa einem Blackout treffen wird. Die Frage ist nur, wie wir uns darauf vorbereitet haben. Eine der wichtigsten Strategien, und hier wirken die Anforderung der NIS 2.0, ist die Erhöhung der Cybersecurity durch Nachweise, frühzeitiges Erkennung der Risiken und so das Verhindern von Ausfällen!

Es bleibt zu hoffen, dass es bei einem Blackout aufgrund eines Cyber-Angriffes nicht heißen wird: 2021/2022 gab es viele neue und weiterreichende Regularien in Sachen Cybersecurity. Hätten wir die nur rechtzeitig umgesetzt!

Lussnig
Klaus Lussnig ist Geschäftsführer von Industrial Automation Österreich und Spezialist für Software-Lösungen rund um die Industrial Security. - © Renate Neurauter