NIS2-Novelle in Unternehmen: Strenge Regeln für mehr Cybersicherheit

Die EU-Direktive „NIS2“ (Network and Information Systems Security) ordnet umfangreiche Maßnahmen zur Stärkung der Cybersicherheit an. Sie muss von tausenden österreichischen Unternehmen bis Oktober 2024 umgesetzt werden. Angesichts dieser Herausforderung lud das Internationale Forum für Wirtschaftskommunikation (IFWK) Expert:innen aus Wirtschaft, Verwaltung und der IT-Industrie zur Diskussion ein.


Symbolbild zum Thema Cybersicherheit. ©Pixabay/ TheDigitalArtist
NIS2-Novelle in Unternehmen. ©Pixabay/ TheDigitalArtist

„Legt man nun Unternehmen Handschellen an?“ Mit dieser provokanten Frage befassten sich führende Expert:innen aus den Bereichen Wirtschaft und Cybersicherheit beim IFWK. Gemeint sind die strengen Sicherheitsmaßnahmen, die von der Gesetzesnovelle NIS2 vorgeschrieben werden. Ziel ist ein einheitlich hohes Sicherheitsniveau von Netz -und Informationssystemen innerhalb der EU. Um dieses Level zu erreichen, setzt die Novelle Unternehmen unter anderem erhöhte Standards beim Risikomanagement und verpflichtet sie zur Meldung bestimmter Sicherheitsvorfälle.

Robert Lamprecht, Partner bei KPMG und Vorsitzender der Arbeitsgruppe für NIS2-Risikomanagementmaßnahmen, betonte, dass Führungskräfte die Verantwortung tragen, sich mit Cybersicherheitsmaßnahmen auseinanderzusetzen – andererseits müssten sie die Konsequenzen von Cyberattacken ertragen, welche schmerzhafter als Handschellen sein können.

Tausende Unternehmen betroffen – Strenge Sanktionen können drohen

Christina Wilfinger, Geschäftsführerin von SAP Österreich, und IFWK-Gründer Rudolf J. Melzer betonten, dass die Novelle viele österreichische Unternehmen mit Veränderungen konfrontiert. Es wird geschätzt, dass sie für 3.000 bis 9.000 große Firmen und den Mittelstand gilt. Betroffen ist eine breite Palette an Unternehmen: Angefangen beim Energielieferanten bis zum Lebensmittelsektor. Bei Missachtung der Regularien drohen Strafen von bis zu zehn Millionen Euro oder zwei Prozent des Konzernumsatzes. Führungskräfte können sich ebenso haftbar machen.

Richtlinien indirekt auch für Partnerfirmen und Lieferanten

Partnerfirmen und Lieferanten müssen sich auch an NIS2 halten. Laut einer aktuellen Studie von KPMG haben sich Cyberattacken innerhalb der letzten zwölf Monaten verdreifacht. Hierbei ist das am schwächsten abgesicherte Unternehmen in der Lieferkette das häufigste Opfer. Ganz nach dem Motto: „Mi casa es tu casa“, erklärt Lamprecht, dass „Risiken, die andere eingehen, auch meine sind“. Daher sollten auch Partnerunternehmen und Lieferanten umfassende Vorkehrungen treffen. Grundsätzlich müssen sie das Mindestmaß an Sicherheitsvorgaben erfüllen. Darüber hinaus werden Unternehmen von ihren Partnerfirmen ein erhöhtes Risiko- und Sicherheitsmanagement erwarten. Somit gilt die Gesetzesnovelle auch indirekt für Partner und Lieferanten.

Geopolitische Eskalationen verlangen mehr Cybersicherheit

Ein weiterer zentraler Aspekt der Diskussion ist die geopolitische Dimension von Cybersicherheit. Philipp Töbich, Verantwortlicher für das Thema Sicherheit bei SAP in Europa sowie international, steht der Gesetzesnovelle positiv gegenüber. Als jemand, dessen Kunden 87 Prozent des globalen Handelsvolumens generieren, weiß er um die Wichtigkeit einer einheitlichen Gesetzgebung und ihrer konsequenten Umsetzung. Töbich weist auf aktuelle Ereignisse – wie den Krieg in der Ukraine oder den Gaza-Konflikt – hin, in denen Cybersicherheit eine immer größere Rolle spielt. Das sei auch wesentlich zum Schutz des Wirtschaftsstandorts vor Angriffen.

„Incident Response“-Strategien als Notfallpläne

Um auch abgesehen von technischen Maßnahmen auf Bedrohungen vorbereitet zu sein, brauchen Unternehmen zusätzlich eine „Incident Response“-Strategie, betont Martin Krumböck von T-Systems International. Sie regelt die Erkennung und Reaktion auf Cyberattacken und legt die Prozesse im Ernstfall fest. Auch der beste Schutz könne überwunden werden, weswegen solche Notfallpläne unentbehrlich sind, so Krumböck.

Außerdem verlangt die NIS2-Novelle, dass Unternehmen ihre Erfüllung der Regularien umfassend nachweisen können. Das könne zu massiver bürokratischer Belastung führen, warnt Gerald Schremser, CISO bei der Prinzhorn Gruppe. Um den Aufwand zu verringern, empfiehlt Schremser Zertifizierungen durch unabhängige Auditoren, inklusive einer direkten Meldung an die Behörden. Das würde viel Bürokratie ersparen, so der Prinzhorn-CISO.