EZB senkt Zinsen zum dritten Mal im laufenden Jahr Bild: EZB senkt Zinsen zum dritten Mal im laufenden Jahr
EXPORT today online - 42/2024
voestalpine strukturiert Automotive-Sparte in Deutschland um Bild: voestalpine strukturiert Automotive-Sparte in Deutschland um
Metaller-KV: Einkommen steigen um 4,8 Prozent Bild: Metaller-KV: Einkommen steigen um 4,8 Prozent
IWF-Chefin erwartet nur wenig Wachstum der Weltwirtschaft Bild: IWF-Chefin erwartet nur wenig Wachstum der Weltwirtschaft
NEW BUSINESS Guides - BILDUNGS- & KARRIERE-GUIDE 2024
Kocher wirbt in China für Verhandlungslösung im Zollstreit Bild: Kocher wirbt in China für Verhandlungslösung im Zollstreit
Mercedes-Österreich-CEO für Subventionsbepreisung Bild: Mercedes-Österreich-CEO für Subventionsbepreisung
Wien Energie verschickt demnächst Fernwärmeabrechnungen Bild: Wien Energie verschickt demnächst Fernwärmeabrechnungen
NEW BUSINESS Export - NB EXPORT 1/2024
Strabag-Klage in Russland - Raiffeisen will Transparenz Bild: Strabag-Klage in Russland - Raiffeisen will Transparenz
Sanierungsplan von Wiener Immo-Entwickler Imfarr angenommen Bild: Sanierungsplan von Wiener Immo-Entwickler Imfarr angenommen
Sie befinden sich hier:  Home  |  NIS2: Warum die neue EU-Richtlinie (fast) alle europäischen Unternehmen betrifft

NIS2: Warum die neue EU-Richtlinie (fast) alle europäischen Unternehmen betrifft

18. Oktober 2024
"Unternehmen sollten sich nicht nur wegen der NIS2-Richtlinie, sondern auch aus eigenem Interesse stärker auf Cybersicherheit konzentrieren", so Herwart Wermescher. © Wermescher Advisory

NIS2 kommt. Herwart Wermescher rät in seinem Gastartikel dazu, die Cybersicherheit nicht auf die leichte Schulter zu nehmen.

Die EU-Richtlinie NIS2, die seit Jänner 2023 in Kraft ist, revolutioniert die IT-Sicherheitslandschaft für Unternehmen in der gesamten Europäischen Union. In Österreich allein sind schätzungsweise 4.000 und in Deutschland etwa 30.000 Unternehmen direkt betroffen – und das sind nur die großen Player. Mittelständische Unternehmen, insbesondere jene in Lieferketten kritischer Infrastrukturen, werden die Auswirkungen ebenso spüren.

Was ist NIS2?
Die NIS2-Richtlinie zielt darauf ab, die Cybersicherheitsstandards europaweit zu harmonisieren und an den stetig wachsenden Bedrohungen auszurichten. 

Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und stellt Unternehmen in den Bereichen Energie, Verkehr, Finanzwesen, Gesundheit und viele weitere Branchen vor neue, strenge Anforderungen. Europäische Unternehmen, die Teil der kritischen Sektoren oder von deren Lieferketten sind, müssen handeln – und das schnell.

Auch die Tatsache, dass einige Mitgliedsstaaten die Richtlinie nicht rechtzeitig bis zum 17. Oktober 2024 in nationales Recht umgesetzt haben, ändert nichts daran, dass Unternehmen jetzt handeln müssen.

Direkte und indirekte Auswirkungen auf Unternehmen
Die Richtlinie sieht vor, dass Unternehmen, die als "wesentliche" oder "wichtige" Diensteanbieter eingestuft werden, strenge Sicherheitsmaßnahmen implementieren und sich regelmäßigen Audits unterziehen. In der Regel betrifft dies Unternehmen aus bestimmten, in der Richtlinie aufgelisteten Branchen, die mehr als 50 Beschäftigte haben oder einen Jahresumsatz von über 10 Mio. EUR erzielen.

Doch die NIS2-Richtlinie fordert nicht nur direkt betroffene Unternehmen, sondern erstreckt sich auch auf deren gesamte Lieferkette. Somit müssen sich Lieferanten von direkt betroffenen Unternehmen auf die strengen Vorgaben einstellen. Sie müssen ihre eigenen Cybersicherheitsstandards erhöhen, um den gestiegenen Anforderungen ihrer Geschäftspartner gerecht zu werden. Regelmäßige Assessment-Fragebögen, Anforderungen an Zertifizierungen sowie Audit-Anfragen werden künftig für wichtige Lieferanten zur Normalität gehören.

Angebotsanfragen, Ausschreibungen und Lieferantenverträge werden sich in Zukunft grundlegend ändern. Unternehmen, die ihre Cybersicherheit nicht im Griff haben, riskieren schwerwiegende finanzielle und reputative Verluste.

Die unterschätzte Bedrohung: Eine Frage der Zeit
In vielen Unternehmen kritischer Sektoren, wird die Dramatik der Bedrohungslage nach wie vor unterschätzt. Studien zeigen, dass IT-Führungskräfte oft zu optimistisch sind, wenn es um die Einschätzung von Cyberrisiken geht. Ein gefährlicher Irrtum, denn die Angriffe auf kritische Infrastrukturen nehmen in erschreckendem Tempo zu. Cyberangriffe auf kritische Infrastrukturen sind keine Hypothese mehr, sondern harte Realität.

Ein erfolgreicher Angriff auf nur einen Teil der Lieferkette kann weitreichende Auswirkungen haben – von Produktionsausfällen bis hin zu existenzbedrohenden Schäden. Die wirtschaftliche und gesellschaftliche Stabilität hängt in großem Maße von der Resilienz dieser Infrastrukturen ab.

Deshalb ist es umso dringender, dass Unternehmen die Cybersicherheit nicht auf die leichte Schulter nehmen. Die NIS2-Richtlinie ist mehr als nur eine Formalität: Sie ist eine Antwort auf eine Bedrohungslage, die für das wirtschaftliche und soziale Gefüge Europas katastrophale Folgen haben könnte.

Chancen und Herausforderungen
NIS2 bietet eine enorme Chance, die Cybersicherheitslandschaft zu verbessern und die Widerstandsfähigkeit der europäischen Wirtschaft gegenüber Cyberangriffen zu stärken. Dennoch stehen viele Unternehmen vor der Herausforderung, die Richtlinien rechtzeitig und kosteneffizient umzusetzen. Dies betrifft vor allem jene, die bislang nur minimale Sicherheitsmaßnahmen getroffen haben.

 

 

© Wermescher Advisory
  

"Die NIS2-Richtlinie ist ein Weckruf für alle Unternehmen in Europa, ihre Cybersicherheitsstrategien zu überdenken. Es geht nicht nur um Compliance, sondern um die Sicherstellung der eigenen Zukunftsfähigkeit. Cybersicherheit muss in den Unternehmenswerten verankert sein – von der Führungsebene bis hin zu jedem einzelnen Mitarbeiter. Nur so können wir die Resilienz unserer Wirtschaft erhöhen und sicherstellen, dass wir den wachsenden Bedrohungen standhalten können. Jetzt ist die Zeit zu handeln, um kurzfristig einen Wettbewerbsvorteil zu haben und langfristig wettbewerbsfähig zu bleiben."

DI Herwart Wermescher, MBA

 

Ein zentraler Punkt ist der Mangel an qualifizierten Cybersecurity-Fachkräften. Viele Unternehmen, besonders mittelständische, kämpfen mit der Frage, wie sie die notwendigen Sicherheitsvorgaben mit begrenzten Ressourcen umsetzen können. Hier liegt eine große Chance für Dienstleister, die Unternehmen bei der Umsetzung einer nachhaltigen Cybersecurity Strategie unterstützen können.

Unternehmen, die jetzt schnell auf umfassende Cybersicherheitsmaßnahmen setzen, können sich kurzfristig einen klaren Wettbewerbsvorteil sichern.

Praktische Tipps zur Vorbereitung
Unternehmen sollten jetzt mit der Planung und Implementierung beginnen, um den Anforderungen der NIS2-Richtlinie gerecht zu werden. Hier sind einige erste Schritte:

Betroffenheit klären: Ist dein Unternehmen direkt oder indirekt von der NIS2 Richtlinie betroffen?
Projektteam etablieren: Der Geschäftsführer sollte Sponsor eines Projektteams sein, dass die Aufgabe bekommt Cybersicherheit einzuführen.
Risikoanalyse: Unternehmen sollten ihre bestehenden Sicherheitsmaßnahmen auf Schwachstellen hin überprüfen.
Schulungen und Awareness: Mitarbeiter müssen geschult werden, um Cyber-Bedrohungen frühzeitig zu erkennen und entsprechend zu handeln.
Technische Maßnahmen: Investitionen in Technologien wie Firewalls, Intrusion-Detection-Systeme und Backup-Lösungen sind entscheidend.

Was passiert, wenn Unternehmen nicht reagieren?
Die Folgen für Unternehmen, die die Vorgaben der NIS2-Richtlinie nicht erfüllen, können gravierend sein. Neben möglichen hohen Bußgeldern riskieren Unternehmen auch ihren Ruf und die Geschäftsbeziehungen. Da die NIS2 eine Meldepflicht für Sicherheitsvorfälle beinhaltet, müssen Unternehmen innerhalb von 24 Stunden nach einem Cybervorfall reagieren. Bei der DSGVO sind es 72 Stunden, die ein Unternehmen Zeit hat, eine Verletzung des Schutzes personenbezogener Daten zu melden.

Handeln ist jetzt gefordert
Die NIS2-Richtlinie bringt für viele Unternehmen in Europa tiefgreifende Veränderungen mit sich. Während größere Unternehmen bereits vorbereitet sind oder Maßnahmen ergreifen, müssen vor allem mittelständische Unternehmen ihre Cybersecurity-Strategien überdenken. Der Druck, von Lieferanten und Geschäftspartnern als sicherer Akteur wahrgenommen zu werden, wächst.

Ein wesentlicher Punkt, um wettbewerbsfähig zu bleiben, ist die rechtzeitige Umsetzung der Vorgaben. Unternehmen, die die Herausforderung frühzeitig annehmen, haben nicht nur die Möglichkeit, die Anforderungen zu erfüllen und ihre Resilienz zu stärken, sondern können auch einen klaren Wettbewerbsvorteil erzielen, indem sie als vertrauenswürdige und proaktive Partner im Markt wahrgenommen werden. (HW)

 

Über den Autor: 
Herwart Wermescher ist seit 2005 als selbstständiger Unternehmensberater tätig, spezialisiert auf Cybersicherheit, öffentliche Sicherheit und Informationstechnologie. Mit seiner langjährigen Erfahrung in Führungspositionen und als Gründer mehrerer Unternehmen legt er besonderen Wert auf Effizienz, lösungsorientierte Kommunikation und klare Strukturen. Als unabhängiger Berater und Projektmanager erzielt er für seine Kunden messbare Ergebnisse und verliert dabei nie die strategischen Ziele aus den Augen. 
https://kmusec.com/