„Unternehmen in Handschellen?”: Die NIS2-Richtlinie und ihre Auswirkungen auf die Wirtschaft

v.l. Gerald Schremser (Prinzhorn Gruppe), Robert Lamprecht (KPMG), Isabella Mader (Excellence Research), Martin Krumböck (T-Systems), Philipp Töbich (SAP) @ IFWK/Peroutka

Bis Oktober 2024 stehen zahlreiche Unternehmen und Behörden vor der Herausforderung, die Anforderungen der EU-Direktive zur “Network and Information Systems Security” (NIS2) zu erfüllen, die strikte Maßnahmen zur Gewährleistung der Cybersicherheit vorschreibt. Das Internationale Forum für Wirtschaftskommunikation (IFWK) hat dazu gestern in den Räumlichkeiten von SAP Österreich eine Diskussionsrunde veranstaltet, bei der erörtert wurde, wie Unternehmen Risikoabschätzungen durchführen und Sicherheitsmaßnahmen implementieren können.

Die NIS2-Richtlinie ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die im Jänner 2023 in Kraft getreten ist und von den Mitgliedstaaten bis zum 18. Oktober 2024 in nationales Recht umgesetzt werden muss. Viele betroffene Unternehmen dürften sich der Tragweite noch nicht bewusst sein, obwohl bei Nichteinhaltung empfindliche Strafen von bis zu 10 Millionen Euro oder zwei Prozent des Konzernumsatzes drohen, für die auch „Leitungspersonen“ (z.B. CEOs oder Vorstände) persönlich haftbar gemacht werden. „Mit NIS2 werden sich noch viele Unternehmer intensiv beschäftigen müssen“, sagte auch Christina Wilfinger, Geschäftsführerin SAP Österreich und Gastgeberin der Diskussionsrunde, bei der Begrüßung. IFWK-Vizepräsidentin Isabella Mader, Lektorin für IT-Strategie an der FH Hagenberg, moderierte im Anschluss den Experten-Talk zur provokanten Frage, ob das Gesetz zur Cybersicherheit künftig „Unternehmen in Handschellen legt“.

Für Robert Lamprecht, Partner bei KPMG Austria, der auch in der Vorsitzführung der Arbeitsgruppe für die NIS2-Risikomanagementmaßnahmen tätig ist ist die Fragestellung eine klare unternehmerische Entscheidung: „Führungskräfte haben die Möglichkeit, sich proaktiv mit Cybersicherheitsmaßnahmen in einem regulierten Umfeld auseinanderzusetzen, oder aber die schmerzhaften Konsequenzen von Cyberattacken bei Versäumnissen zu erfahren.“ Er betonte die Notwendigkeit, Cybersicherheit nicht allein als technische Aufgabe zu betrachten, sondern auch organisatorische Aspekte und die Rolle der Mitarbeitenden in den Fokus zu rücken. Derzeit gelte in Österreich das NIS-Gesetz aus dem Jahr 2016, das spezifische Anforderungen an die Cybersicherheit in gesellschaftlich relevanten Bereichen festlegt. Mit NIS2 wird der Kreis der betroffenen Unternehmen deutlich erweitert – es betrifft 3.000 bis 9.000 große Firmen sowie mittelständische Unternehmen. Darunter fallen sowohl wesentliche (u.a. Unternehmen im Trinkwasserbereich und Energielieferanten) als auch wichtige (u.a. aus dem Lebensmittelsektor) Unternehmen. Sie werden zukünftig verpflichtet sein, ein Risikomanagement zu implementieren und Sicherheitsvorfälle zu melden.

Cyberangriffe haben sich verdreifacht 

Eine aktuelle Studie von KPMG in Zusammenarbeit mit dem Kompetenzzentrum Sicheres Österreich zeigt, dass sich die Anzahl der Cyberangriffe innerhalb der letzten zwölf Monate mehr als verdreifacht hat. Für Unternehmen können Attacken über Phishing-Mails oder vermeintliche Anweisungen aus der Führungsebene (“CEO Fraud”) zu Betriebsunterbrechungen und erheblichen finanziellen Schäden führen. “Unternehmen benötigen durchschnittlich 58 Tage, um bekannt gewordene Sicherheitslücken in ihren Systemen zu beheben. In diesem Zeitraum sind sie anfällig”, warnt der Sicherheitsexperte. In der Studie gaben 12 Prozent der befragten heimischen Unternehmen an, bei Sicherheitsvorfällen Schäden von mehr als einer Million Euro erlitten zu haben, während mehr als die Hälfte Schäden von mindestens 100.000 Euro verzeichnete. Dabei wird oft das am schwächsten abgesicherte Unternehmen in Lieferketten zum Ziel – daher sei NIS-2 auch für die Partner und Lieferanten großer Unternehmen relevant. “Die Risiken, die andere eingehen, sind auch meine Risiken”, betont Lamprecht und spricht damit die neue Verantwortung in einer stark vernetzten Wirtschaft an.

Unternehmen benötigen durchschnittlich 58 Tage, um bekannt gewordene Sicherheitslücken in ihren Systemen zu beheben.

Robert Lamprecht, Partner bei KPMG Austria
@ IFWK/Peroutka

Gemäß den Vorgaben von NIS2 müssen Sicherheitsvorfälle schrittweise und nach einem festen Schema den Behörden gemeldet werden, um eine rasche Benachrichtigung weiterer Betroffener zu ermöglichen. Zusätzlich zur Durchführung regelmäßiger Audits sind Unternehmen verpflichtet, “geeignete, verhältnismäßige technische, betriebliche und organisatorische Maßnahmen” zur Sicherheit zu ergreifen. Die genaue Bedeutung des geforderten “Standes der Technik” bleibt jedoch dem eigenen Ermessen überlassen. “Ein Virenscanner allein wird auf jeden Fall nicht ausreichen”, so Lamprecht. In diesem Prozess können Berater und Dienstleister unterstützen, jedoch müssen Unternehmen eine Übersicht über die Komponenten ihrer eigenen Infrastruktur selbst erstellen („Assessment“). Durch eine Risikoanalyse werden Risiken anhand ihrer Eintrittswahrscheinlichkeit und Schadenshöhe bewertet und darauf aufbauend Maßnahmen abgeleitet. Neu bei NIS2 ist auch eine „Business Impact Analyse“, um die Auswirkungen auf den Geschäftsbetrieb abzuschätzen, wenn einzelne Services unterbrochen werden.

Kontinuierliche Weiterentwicklung der Sicherheitsmaßnahmen erforderlich

Philipp Töbich verantwortet mit seinem Team Sicherheitsthemen bei SAP in Europa und international – und steht damit im Rampenlicht der Weltwirtschaft. SAP-Kunden generieren 87 Prozent des globalen Handelsvolumens. „Das Thema der Netz- und Informationssicherheit gibt es nicht erst seit gestern“, berichtet der Experte von fünfzigjähriger Erfahrung des Softwareherstellers mit dem Schutz von Daten. Töbich betrachtet die NIS2 grundsätzlich positiv. Gerade größere Unternehmen hätten bereits enorme Ressourcen in die Sicherheit gesteckt. Jetzt sei es wichtig, eine möglichst harmonische Gesetzgebung in Europa und deren Umsetzung in der Breite zu erreichen.  – Denn die Gefahren sind mit den geopolitischen Eskalationen in jüngster Zeit nicht weniger geworden. „Aktuelle Ereignisse – von denen viele dachten, sie seien so gar nicht mehr möglich – verdeutlichen mit voller Härte die enorme Bedeutung von Sicherheit und die Notwendigkeit angemessener Schutzmaßnahmen. Cybersecurity ist entscheidend: denn unsere Wirtschaft ist in Gefahr, jederzeit zum Angriffsziel zu werden“, spitzt Töbich zu. Mit der digitalen Transformation werde es für Unternehmen immer wichtiger, ein hohes Sicherheitsniveau zu halten. 

Aktuelle Ereignisse verdeutlichen mit voller Härte die enorme Bedeutung von Sicherheit und die Notwendigkeit angemessener Schutzmaßnahmen. 

Philipp Töbich, SAP
@ IFWK/Peroutka

Die richtige Vorbereitung kann Schäden minimieren

Martin Krumböck, CTO Cyber Security bei T-Systems International, betonte die Bedeutung von Abwehrmaßnahmen als einen wesentlichen Aspekt der IT-Sicherheit. Als CTO im Bereich Cyber Security sieht er angesichts der Meldepflichten und -fristen im Incident Management eine neue Priorität. „Selbst der beste Schutz kann überwunden werden. Deswegen ist es entscheidend, Angriffe auf die eigene Infrastruktur schnell zu erkennen. Je schneller ich das schaffe, desto geringer ist normalerweise der Schaden“, so Krumböck. Früher dauerte es oft Tage oder Wochen vom ersten Eindringen bis zum Datendiebstahl, während kombinierte Angriffe mit Ransomware-Verschlüsselungen heute innerhalb weniger Stunden erfolgen. Daher sind Notfallpläne unerlässlich. In einer „Incident Response“-Strategie werden Ansprechpartner und Prozesse für den Fall eines Angriffs festgelegt, um nicht erst im Ernstfall darüber nachdenken zu müssen. Krumböck betonte zudem die Wichtigkeit der Vorbereitung: „Wie reagiere ich im Ernstfall? Wie halte ich Meldepflichten ein, um auch den Kollateralschaden einer Pönale abzuwenden?“ Um eine umfassende Sicht auf Cyber-Defense zu gewährleisten, empfiehlt der Experte auch „Managed Services“, insbesondere für Unternehmen, die über unzureichende interne Ressourcen in diesem Bereich verfügen. Letztlich investieren Entscheidungsträger in die IT-Sicherheit aus zwei Hauptgründen: zur Stärkung der Resilienz für den Fortbestand des Unternehmens und aus Compliance-Gründen, die von den Anforderungen Dritter wie Eigentümern, Kunden, Partnern oder dem Gesetzgeber getrieben werden.

@ IFWK/Peroutka

Selbst der beste Schutz kann überwunden werden. Deswegen ist es entscheidend, Angriffe auf die eigene Infrastruktur schnell zu erkennen. Je schneller ich das schaffe, desto geringer ist normalerweise der Schaden

Martin Krumböck, CTO Cyber Security bei T-Systems International

Eigenständige Gestaltung der IT-Sicherheit

Gerald Schremser, Chief Information Security Officer (CISO) bei der Prinzhorn Gruppe, gab abschließend einen Einblick in die Geschäftsbereiche und die Informationssicherheit des Konzerns aus der Papierindustrie. Bisher blieb das eigentümergeführte Unternehmen mit 10.000 Mitarbeitenden in 16 Ländern weitgehend von gesetzlichen Vorgaben im IT-Bereich verschont. Schremser betonte jedoch den Wunsch nach einer weiterhin eigenen Gestaltungsmöglichkeit in Bezug auf die IT-Sicherheit. Derzeit führt er Gap-Analysen durch, um den aktuellen Stand und mögliche Umsetzungsmöglichkeiten bei Sicherheitsthemen zu überprüfen. Eine offene Frage für den CISO sei, wie zukünftig mit den zu erwartenden vermehrten Anfragen in der Lieferkette im Rahmen der Berichtspflichten umgegangen werden soll. Es würden jährlich Hunderte von Anfragen zu Sicherheitsbelangen drohen. „Hier wäre es wünschenswert, einen unabhängigen Nachweis über die Erfüllung der Pflichten gemäß NIS2 zu erhalten, den unsere Partner für ihre Meldungen an die Behörde nutzen können“, so Schremser.

@ IFWK/Peroutka

Eine offene Frage ist, wie zukünftig mit den zu erwartenden vermehrten Anfragen in der Lieferkette im Rahmen der Berichtspflichten umgegangen werden soll. 

Gerald Schremser, Chief Information Security Officer (CISO) bei der Prinzhorn Gruppe

In der abschließenden Q&A-Session und in Einzelgesprächen wurde das Thema NIS2 weiter vertieft. In Anbetracht der bevorstehenden Umsetzungsfrist und den potenziellen Auswirkungen auf Unternehmen steht fest, dass die Diskussion um die NIS2-Richtlinie noch lange nicht abgeschlossen ist.

Galerie

Upcoming events