Wien Energie mit sattem Gewinn, Preise sollen sinken Bild: Wien Energie mit sattem Gewinn, Preise sollen sinken
EXPORT today online - 18/2024
Wiener Stadtwerke 2023 mit weniger Umsatz und mehr Gewinn Bild: Wiener Stadtwerke 2023 mit weniger Umsatz und mehr Gewinn
Gazprom verzeichnet für 2023 Milliardenverlust Bild: Gazprom verzeichnet für 2023 Milliardenverlust
Staatsanwaltschaft ermittelt gegen Gastronomen Martin Ho Bild: Staatsanwaltschaft ermittelt gegen Gastronomen Martin Ho
NEW BUSINESS Guides - FACILITY MANAGEMENT-GUIDE 2024
RBI will Strabag-Deal stoppen, falls Sanktionen drohen Bild: RBI will Strabag-Deal stoppen, falls Sanktionen drohen
Tesla präsentiert "Cybertruck" in Deutschland Bild: Tesla präsentiert
Benko-Masseverwalter: Konkursverfahren könnte Jahre dauern Bild: Benko-Masseverwalter: Konkursverfahren könnte Jahre dauern
NEW BUSINESS Export - NB EXPORT 2/2023
Anzeichen für Intervention beim Yen gegenüber Dollar Bild: Anzeichen für Intervention beim Yen gegenüber Dollar
Ausländische Investitionen in Österreich stark rückläufig Bild: Ausländische Investitionen in Österreich stark rückläufig
Sie befinden sich hier:  Home  |  NIS-2-Richtlinie – Cybersicherheit & Recht

NIS-2-Richtlinie – Cybersicherheit & Recht

16. Februar 2024
Angelika Sery-Froschauer, Obfrau der Bundessparte Information und Consulting © Nadine Studeny

Ab Oktober 2024 kommen mit der Umsetzung der Cybersicherheitsrichtlinie NIS 2 neue verpflichtende Vorgaben im Bereich Informationssicherheit auf viele Unternehmen zu.

Angelika Sery-Froschauer, Obfrau der Bundessparte Information und Consulting, gibt Antworten auf die wichtigsten Fragen zur neuen Rechtslage.

Frau Sery-Froschauer, was ist das Ziel der neuen Gesetzgebung?
Mit fortschreitender Digitalisierung sind wir auch zunehmend abhängig von unserer IT. Cyberkriminelle agieren immer professioneller, die Cyberattacken steigen jährlich massiv an. Mit der Cybersicherheitsrichtlinie will die EU gegensteuern und die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU verbessern. 

Angesichts der Berichte über Cyberattacken würde man meinen, die Unternehmen schützen sich im eigenen Interesse. Ist das zu wenig?
Die meisten Unternehmen haben erkannt, dass Cybersicherheit in einer digitalisierten Wirtschaft wesentlicher Bestandteil der Unternehmensstrategie sein muss. Ohne IT – und das Vertrauen in die IT – ist unternehmerisches Arbeiten heute kaum mehr denkbar. Die große Herausforderung ist, es reicht heute nicht aus, punktuell technische Security-Investitionen zu tätigen, wie z.B. eine neue Firewall anzuschaffen. Cybersicherheit ist ein fortlaufender Prozess, der nicht nur die IT betrifft, sondern z.B. auch organisatorische Umstellungen im Unternehmen bedeutet. Der Gesetzgeber fordert ein Risikomanagement und darauf aufbauend entsprechende technische und organisatorische Maßnahmen, wie etwa Datensicherungskonzepte, Mitarbeiterschulungen oder Multi-Faktor-Authentifizierung. Alle Maßnahmen müssen laufend evaluiert und auf dem aktuellen Stand gehalten werden. Das ist wichtig für jedes Unternehmen, aber eben auch eine Herausforderung. Letztendlich zahlt sich der Einsatz aber aus, vor allem wenn man bedenkt, dass Unternehmen nach Cyberattacken mitunter monatelang damit beschäftigt sind, wieder auf die Beine zu kommen.

Wen betreffen die neuen Regelungen?
Im Fokus der Richtlinie stehen mittlere und große Unternehmen bestimmter, kritischer Sektoren, betroffen sind etwa der Energiebereich, Gesundheit und Abwasser. Aber auch die Lebensmittelindustrie oder das herstellende Gewerbe fallen in den Anwendungsbereich der Richtlinie. 

Kleine Unternehmen sind also nicht erfasst?
Kleine Unternehmen, also Betriebe mit weniger als 50 Mitarbeitern und bis zu zehn Millionen Euro Jahresumsatz, können ebenfalls erfasst sein. So sind beispielsweise auch kleine Netzbetreiber mit weniger als 50 Mitarbeitern erfasst, da im Bereich der digitalen Infrastruktur andere Größenschwellen gelten. Entscheidend ist auch die Lieferkette. Dienstleister und Zulieferer, die an NIS-2-unterworfene Unternehmen liefern, müssen – unabhängig von ihrer Größe – ebenfalls Sicherheitsanforderungen erfüllen.

Derzeit haben wir noch kein Gesetz zur Umsetzung der EU-Richtlinie. Wann genau müssen die Unternehmen die Vorgaben nachweisen können?
Die Richtlinie gibt den Mitgliedstaaten bis 17. Oktober 2024 Zeit, die Vorgaben der Richtlinie umzusetzen. Für die Unternehmen gelten die Regelungen, sobald diese in einem nationalen Gesetz umgesetzt sind. Die Unternehmen sollten aber keinesfalls abwarten oder darauf spekulieren, dass die Umsetzung noch dauern wird. Je nachdem, wie viel ein Betrieb schon für seine Cybersecurity getan hat, kann es durchaus ein Jahr dauern, bis die Maßnahmen im Betrieb greifen. Ich empfehle allen Unternehmen, jetzt damit zu beginnen, das Thema Cybersicherheit in Angriff zu nehmen. Klar ist, dass die Cyberkriminellen mit Attacken nicht auf ein österreichisches Cybersicherheitsgesetz warten. 

Wie fange ich als Unternehmen am besten an, wenn ich bisher noch wenig für Cybersicherheit getan habe?
In einem ersten Schritt sollten Unternehmen klären, ob sie die neuen Regelungen betreffen. Am schnellsten geht das mit unserem Online-Ratgeber www.ratgeber.wko.at/nis2. Unternehmen, die im Anwendungsbereich der Richtlinie sind, müssen eine Risikoanalyse machen, um festzustellen, wo es Lücken in Bezug auf NIS 2 gibt. Für die Umsetzung der Maßnahmen empfehle ich, sich die Unterstützung von darauf spezialisierten Experten zu holen. (red.)

 

Über die Bundessparte Information und Consulting
Die Bundessparte Information und Consulting (BSIC) in der Wirtschaftskammer Österreich (WKÖ) vertritt die Interessen von 121.078 aktiven Mitgliedern aus den Sektoren Information, Kommunikation und Consulting. Als Motor des Innovations- und Zukunftsstandorts Österreich erwirtschaften die wissensbasierten Dienstleistungsunternehmen rund 67 Milliarden Euro an Umsätzen jährlich und beschäftigen 262.000 Arbeitnehmer. 
https://wko.at/ic