Was bedeutet das?

Die Erweiterung der Cybersicherheits-Richtlinie NIS2 soll die Widerstandsfähigkeit und Reaktionsfähigkeit auf Sicherheitsvorfälle in der EU verstärken, sowohl im öffentlichen als auch im privaten Sektor. Diese Anpassung erweitert den Geltungsbereich auf einen größeren Teil der Wirtschaft, um Sektoren und Dienste von grundlegender Bedeutung im Binnenmarkt umfassend abzudecken. Betroffene Einrichtungen sind nun verpflichtet, angemessene Risikomanagementmaßnahmen für ihre Netz- und Informationssysteme zu ergreifen.

Sind auch kleine Unternehmen betroffen?

Kleine Unternehmen, d.h. Unternehmen, die weniger als 50 Mitarbeiter beschäftigen und die entweder einen Jahresumsatz von höchstens 10 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Mio. Euro beläuft, fallen nicht unter NIS2. Dabei gibt es jedoch Ausnahmen, hier kann man den eigenen Status erfahren: https://ratgeber.wko.at/nis2/

Was passiert mit Unternehmen, die die Richtlinie nicht einhalten?

Wenn Unternehmen die Anforderungen der NIS2 nicht erfüllen, können verschiedene Durchsetzungsmaßnahmen ergriffen werden. Darunter fallen verbindliche Anordnungen, die Empfehlung eines Sicherheitsaudits und Verwaltungsstrafen in Höhe von bis zu 10 Millionen Euro oder zwei Prozent des gesamten, weltweit erzielten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr.

Anforderungen

Die Richtlinie besteht aus vierzehn Punkten, die von den betroffenen Unternehmen und Sektoren erfüllt werden müssen:

1. Policies: Richtlinien für Risiken und Informationssicherheit
2. Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents
3. Business Continuity: BCM mit Backup Management, Desaster Recovery, Krisen Management
4. Supply Chain: Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern
5. Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
6. Effektivität: Vorgaben zur Messung von Cyber und Risiko Maßnahmen
7. Training und Cyber Security Hygiene
8. Kryptographie: Vorgaben für Kryptographie und wo möglich Verschlüsselung
9. Personal: Human Resources Security
10. Zugangskontrolle 
11. Asset Management
12. Authentication: Einsatz von Multi-Faktor-Authentifizierung (MFA) und Single-Sign-On (SSO)
13. Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation
14. Notfall-Kommunikation: Einsatz gesicherter Notfall-Kommunikations-Systeme

Die Zeit bis Oktober 2024 ist kurz und die verfügbaren Ressourcen zur Umsetzung von Sicherheitsmaßnahmen sind bereits knapp. Daher gilt es, so schnell als möglich aktiv zu werden. Mit dem Aufbau eines ISO 27001 oder BSI Grundschutz konformen Informationssicherheitsmanagementsystems ist man erstmal auf der sicheren Seite, der Aufwand dafür ist aber in jeder Hinsicht sehr groß.

In Österreich bietet sich alternativ folgender Ansatz an: