Mit der Umsetzung der EU-NIS2-Richtlinie stehen Unternehmen vor neuen Herausforderungen. Ab 18. Oktober 2024 müssen Unternehmen der „kritischen Infrastruktur“ – unter anderem Betriebe aus den Bereichen Energie, Bankwesen, Verkehr, Gesundheitswesen, digitale Infrastruktur oder die öffentliche Verwaltung – sowie deren Geschäftspartner Nachweise über ihre Cybersecurity-Maßnahmen erbringen. Damit soll den zunehmenden Cyberattacken entgegengewirkt und die IT-Sicherheit in Europa gestärkt werden. Bei Nichterfüllung droht das Ende von Geschäftsbeziehungen.
In Österreich wurden laut polizeilicher Anzeigenstatistik 2023 rund 66.000 Fälle von Internetkriminalität angezeigt. Diese alarmierende Zahl unterstreicht die Dringlichkeit, Cybersicherheit ernst zu nehmen. Die EU-NIS2-Richtlinie, die Österreich bis 17. Oktober 2024 umsetzen muss, strebt ein höheres Sicherheitsniveau von Netz- und Informationssystemen an und verbessert die Reaktion auf Sicherheitsvorfälle.
Mangelndes Bewusstsein und hohe Risiken
Eine Umfrage des KSV1870 zeigt, dass 33 Prozent der österreichischen Unternehmen in Geschäftsbeziehungen mit der „kritischen Infrastruktur“ stehen. Dennoch fehlt es vielen Unternehmen an Bewusstsein für und Vorbereitung auf die NIS2-Richtlinie. Rund 64 Prozent der befragten Unternehmen kennen die kommenden Anforderungen und deren Konsequenzen nicht. Nur sechs Prozent setzen sich intensiv mit der NIS2-Richtlinie auseinander, während 41 Prozent zwar Handlungsbedarf erkennen, aber kaum Maßnahmen ergreifen.
Ricardo-José Vybiral, CEO der KSV1870 Holding AG, warnt: „Bei Missachtung der neuen Richtlinie setzen betroffene Betriebe nicht nur ihre wirtschaftliche Souveränität leichtfertig aufs Spiel, sondern müssen sich die Entscheidungsträger im Ernstfall auch mit verschärften Haftungsfragen und möglichen Geldbußen von bis zu 10 Mio. Euro oder zwei Prozent des weltweiten Jahresumsatzes auseinandersetzen.“
CyberRisk Report: Sicherheit wird überschätzt
Der CyberRisk Report 2024 der KSV1870 Nimbusec GmbH zeigt, dass 87 Prozent der Unternehmen ihre Cybersicherheit überschätzen. Viele Betriebe beantworten einzelne Sicherheitsfragen mit „Ja“, können dies aber nicht schlüssig belegen. Bis zu 70 Prozent der Antworten müssen nachträglich überprüft werden, da sie unzureichend sind. Alexander Mitter, Geschäftsführer der KSV1870 Nimbusec GmbH, betont: „Trotz eines laufend steigenden Cyberrisikos ist das Bewusstsein für ein professionelles Sicherheitsmanagement in Österreich weiterhin besorgniserregend niedrig. Wer jetzt nicht handelt, darf sich später nicht wundern, sein ‚blaues Cyberwunder‘ zu erleben und tief in die Tasche greifen zu müssen, um Systeme wieder zum Laufen zu bringen.“
KSV1870 bietet Unterstützung
Um den Anforderungen der EU-NIS2-Richtlinie gerecht zu werden, bietet der KSV1870 das CyberRisk Rating an. Dieses standardisierte Verfahren bewertet das Cyberrisiko von Dienstleistern, Lieferanten und Dritten. Je nach Risikoeinstufung erhalten Unternehmen ein B-, A- oder A+ -Rating. Die Ratings basieren auf dem Cyber-Risk-Schema des KSÖ (Kompetenzzentrum Sicheres Österreich) und sind behördlich anerkannt. Ein B-Rating signalisiert ein Basis-Cyber-Schutzniveau, während ein A-Rating alle 25 Anforderungen des KSÖ bewertet. Das A+ Rating beinhaltet zusätzlich einen Bericht eines Audit-Partners.
Das CyberRisk Rating stellt nicht nur für kleine Betriebe, sondern auch für große Unternehmen eine wertvolle Unterstützung dar. Ein Beispiel dafür ist SAP Österreich, das kürzlich mit einem der besten CyberRisk Ratings ausgezeichnet wurde.
Christina Wilfinger, Geschäftsführerin von SAP Österreich, erklärt: „Mit der digitalen Transformation und der in Kraft tretenden Gesetzgebung ist es für Unternehmen immer wichtiger, ein hohes Sicherheitsniveau zu halten. SAP als einziger europäischer Anbieter von Unternehmenssoftware ist sich der Verantwortung bewusst, denn ein Großteil des betrieblichen Datenverkehrs in Unternehmen auf der ganzen Welt läuft über SAP-Systeme. So generieren unsere Kunden 87 Prozent des weltweiten Handelsvolumens, um die Dimension des damit verbundenen Sicherheitsaspekts darzustellen. Wir freuen uns daher, dass wir im CyberRisk Rating eine Spitzenposition einnehmen können und Unternehmen helfen, Sicherheitsmaßnahmen zum Schutz ihrer geschäftskritischen Anwendungen zu etablieren. Wir sind hier in einer Vorreiterrolle, mit umfassender Technologie die Innovationskraft europäischer Unternehmen zu stärken und zu schützen.“