NIS2 kommt : Experte befürchtet Gleichgültigkeit in der Industrie
Wie haben Sie die Verhandlungen um die NIS2-Richtlinie verfolgt und wie schätzen Sie das Resultat ein?
Herbert Andert: Ich verfolge die Diskussion seit Dezember 2020, als der erste Entwurf präsentiert wurde. Durch die Pandemie sind dann die weiteren Verhandlungen sehr in den Hintergrund gerückt. Die NIS1-Richtlinie existiert schon lange und manche sehr große infrastrukturelle Dienstleister, wie zum Beispiel Krankenhäuser, haben diese Richtlinie bis heute noch nicht umgesetzt. Insofern hege ich Zweifel, ob NIS2 in einer angemessenen Zeit flächendeckend zur Umsetzung kommen wird. Eigentlich sollte gar keine Richtlinie notwendig sein, damit sich Unternehmen mit dem Thema Cybersecurity beschäftigen. Cyberangriffe passieren und die Industrie muss sich schützen und Produktionsausfälle vermeiden. Hier haben viele Unternehmen noch Nachholbedarf.
Die Verhandlungen, die im Trilog zwischen Kommission, Rat und Parlament geführt wurden, waren sehr zäh. Die Kommission hat als Grund die Pandemie genannt, aber es dürfte auch daran liegen, dass sich die Industrie stark zur Wehr gesetzt hat. Sie beraten Ihre Kunden bei der Umsetzung von Cybersecurity- Richtlinien, was hören Sie von denen?
Andert: Wir beobachten, dass die Zuständigkeiten für Cybersecurity in vielen Unternehmen zwischen den Abteilungen hin und her geschoben werden und sich letztlich niemand dafür wirklich verantwortlich fühlt. Die geschäftlichen Prioritäten liegen oft woanders, damit wird das Thema Cybersecurity vorerst nicht weiterverfolgt. Bei jenen Unternehmen, die einem Cyberangriff zum Opfer gefallen sind, hat das Thema dann plötzlich höchste Priorität und keine Maßnahme scheint mehr zu teuer. Ein schlechtes oder gar nicht vorhandenes Security-System kostet am Ende deutlich mehr als ein gutes. Den Mehrwert sehen viele leider erst, wenn sie tatsächlich angegriffen wurden und Produktionsausfälle zu Schäden im mehrstelligen Millionenbereich führen. Ich persönlich verstehe es kaum, warum bei Cybersecurity noch immer so viele sehr zurückhaltend agieren.
Wenn man die Unternehmen dazu bringen möchte, einen gewissen Schutz vorzusehen, um damit die gesamte Infrastruktur zu schützen, muss es einheitliche Regelungen geben.
NIS2 soll noch heuer in Kraft treten. Die Mitgliedsstaaten haben dann 21 Monate Zeit, um die Richtlinie umzusetzen. Erwarten Sie sich eine ähnlich gleichgültige Haltung der Unternehmen, wie es bei NIS1 der Fall war?
Andert: Wenn sie nicht kontrolliert und bei Nichtbefolgung bestraft wird, wird die Umsetzung von NIS2 vermutlich ebenso stiefmütterlich behandelt werden. Unternehmen, die Gewinne schreiben und auch sonst erfolgreich agieren, sehen oftmals keinen Anlass für Investitionen in die Prophylaxe, weil sie das Thema Cybersecurity nicht als wichtig genug einschätzen. Viele denken, dass ihr Unternehmen kein attraktives Ziel für einen Cyberangriff darstellt, manche hoffen vielleicht einfach, dass es sie nicht treffen wird. Bei zunehmender Digitalisierung sollte es im Interesse der Unternehmen sein, das eigene Know-how und die Produktionsanlagen bestmöglich zu schützen. Als ich in den 90er-Jahren im Bereich Automatisierung gestartet habe, gab es sehr viele verschiedene proprietäre Schnittstellen, da spielte Cybersecurity noch keine große Rolle. Aber mittlerweile hat man auch in der Produktion mit Herausforderungen zu kämpfen, die man bisher nur aus der IT kannte.
Die Richtlinien sollen national umgesetzt werden. Wer soll die Umsetzung in Österreich überhaupt überwachen und kontrollieren?
Andert: Im zuständigen Bundesministerium existiert eine eigene Gruppe, die sich mit NIS auseinandersetzt. Auf einer Informationsveranstaltung konnte man allerdings erfahren, dass diese Gruppe sehr wenig personelle Ressourcen hat. Wenn man die Unternehmen dazu bringen möchte, einen gewissen Schutz vorzusehen, um damit die gesamte Infrastruktur zu schützen, muss es einheitliche Regelungen geben, die EU-weit harmonisiert sind. Es ist die Aufgabe der Politik, einheitliche Regeln zu schaffen, mit denen auch die Kosten niedrig gehalten werden. Gerade für die Klein- und Mittelbetriebe ist der Kostenfaktor entscheidend, weil die Anforderungen im Verhältnis nahezu dieselben sind wie für ein großes Unternehmen.
IT und OT arbeiten eng zusammen, aber beide müssen ihre Perspektive bewahren und kritisch auf den anderen Bereich schauen.
Wenn ein Unternehmen die NIS2-Richtlinie umsetzen will, womit muss es dann rechnen?
Andert: Wir gehen nach dem Vorgehensmodell VDI/VDE 2182 vor, wo alle Schritte definiert sind. Unser Projektteam erhebt den Ist-Zustand der Produktionsanlagen und -systeme und erstellt eine Risikoanalyse nach IEC 62443. Gemeinsam mit dem Kunden wird anschließend eine technische und budgetäre Roadmap mit allen geforderten Schritten zur Umsetzung der Richtlinie aufgesetzt. Der Kunde entscheidet dann, welche Schritte er setzen möchte. Diese Analyse und Konzeption nehmen in der Regel einige wenige Tage in Anspruch. Die Umsetzung kann dann deutlich länger dauern, wenn sich zum Beispiel im Zuge der Modernisierung auch der Engineering-Prozess der Anlage verändert – bis hin zu mehreren Monaten.
Wie komplex sind die Anforderungen der Richtlinie? Kann das ein kleines Unternehmen überhaupt selbst umsetzen?
Andert: Cybersecurity ist kein reines ITThema, sondern betrifft auch die OT. Für die Umsetzung solcher Maßnahmen müssen also auch Aspekte aus der Anlagenplanung und Know-how aus der Automatisierung berücksichtigt werden. Die IT-Abteilung eines Unternehmens hat dieses Wissen nicht und sollte deswegen nicht zusätzlich für die Security der OT verantwortlich sein. IT und OT arbeiten eng zusammen, aber beide müssen ihre Perspektive bewahren und kritisch auf den anderen Bereich schauen. Hat man dieses Know-how aus Engineering und Automation nicht im Haus, sollte man unbedingt externe Partner einbinden. In der Praxis läuft es üblicherweise so ab, dass in der Planungserstellung dieses Spezialwissen herangezogen und danach jährlich auditiert wird. Diese Sicht von außen ist essentiell – deswegen arbeiten auch wir mit einem externen Partner, der unsere Arbeit noch einmal analysiert und bewertet.
NIS2 im Überblick
- Unternehmen wird ein Risikomanagementkonzept vorgeschrieben, das eine Mindestliste grundlegender Sicherheitselemente enthält.
- Es kommen klare Bestimmungen über das Verfahren zur Meldung von Vorfällen, den Inhalt der Berichte und die Fristen.
- Es kommen strenge Aufsichtsmaßnahmen für die nationalen Behörden und Durchsetzungsanforderungen.
- Es ist ein Bußgeld nach DSGVO-Vorbild bei Verstößen gegen Sicherungsmaßnahmen vorgesehen.
- Ausgewählte Unternehmen werden verpflichtet, sich mit Cybersicherheitsrisiken in Lieferketten und Lieferbeziehungen zu befassen.