Die Umsetzung von NIS2 ist eine komplexe Aufgabe, die viele Unternehmen vor Herausforderungen stellt. Es kann jedoch ein proaktiver Ansatz gewählt werden und aufgrund der Verzögerung bei der Gesetzgebung haben Unternehmen voraussichtlich noch etwas Zeit.
Über die EU-Richtlinie NIS2 wurde in den letzten Monaten viel berichtet. Jetzt steht auch fest, dass das Umsetzungsgesetz in Österreich später kommt (siehe auch standard.at) – wobei sich Österreich hier in bester Gesellschaft befindet und es auch viele andere Mitgliedsstaaten noch nicht geschafft haben, ein entsprechendes Umsetzungsgesetz zeitgerecht auf den Weg zu bringen. Die Verzögerungen bieten damit den betroffenen österreichischen Unternehmen noch eine Galgenfrist, um sich auf die unmittelbare Geltung vorzubereiten.
NIS 2 stellt viele Unternehmen vor große Herausforderungen und zahlreiche Fehleinschätzungen und Missverständnisse erschweren die effektive Umsetzung. In diesem Artikel beleuchten wir die häufigsten Irrtümer und zeigen Lösungsstrategien auf.
Fehleinschätzung: Einige Unternehmen glauben, dass grundlegende IT-Sicherheitsmaßnahmen ausreichen, um NIS2-konform zu sein und dass diese ausschließlich technischer Natur sind.
Realität: NIS2 verlangt ein umfassendes Risikomanagement, einschließlich vollständiger Inventarisierung von Hard- und Software sowie ein ganzheitliches Sicherheitsmanagement. Davon umfasst sind auch organisatorische und personelle Aspekte. Mitarbeiterschulungen und organisatorisches Risikomanagement sind mindestens ebenso wichtig. NIS2 fordert ebenso ein zeitnahes Patchmanagement als Teil der Cyberhygiene.
Lösungsstrategie:
Fehleinschätzung: Viele Unternehmen glauben fälschlicherweise, dass NIS2 nur für Betreiber kritischer Infrastrukturen (KRITIS) und große Unternehmen relevant sei.
Realität: NIS2 erweitert den Geltungsbereich erheblich. Während von NIS 1 noch sehr wenige Unternehmen betroffen waren, wurde der Geltungsbereich nun deutlich erweitert und wird nun auf ca. 3.000 bis 5.000 direkt betroffene Unternehmen in Österreich geschätzt. Jedes infrage kommende Unternehmen hat eine Selbsteinschätzung vorzunehmen und muss sich, sobald es möglich ist, selbstständig bei der noch zu schaffenden Behörde anmelden. Während kleine Unternehmen (unter 50 Beschäftigte und unter 10 Millionen Euro Jahresumsatz und unter 10 Millionen Euro Jahresbilanzsumme) nicht direkt unter das Regime der Richtlinie fallen, können diese über Sonderbestimmungen im Anwendungsbereich oder über die Lieferkette betroffen sein.
Lösungsstrategie:
Fehleinschätzung: Viele Unternehmen gehen davon aus, dass sie nach Inkrafttreten des Gesetzes noch Zeit haben, sich anzupassen.
Realität: Es wird keine Übergangsfrist geben – da Österreich bis zum 17. Oktober 2024 Zeit hatte, die Richtlinie in nationales Recht umzusetzen, wird im Gesetzgebungsverfahren voraussichtlich kein allzu großer Wert auf Übergangsfristen gelegt werden, um weitere Verzögerungen und damit ein Vertragsverletzungsverfahren zu riskieren. Sobald NIS2 in nationales Recht umgesetzt ist, werden Unternehmen die Vorschriften unmittelbar einhalten müssen. Die grundlegenden Vorgaben, was zu tun ist, liegen bereits jetzt mit der NIS2-Richtlinie vor. Es ist wichtig, sich jetzt vorzubereiten, da die Implementierung der Maßnahmen abhängig vom Reifegrad der Cybersicherheit viele Monate im Unternehmen in Anspruch nimmt.
Lösungsstrategie:
Fehleinschätzung: Viele Unternehmen sehen die Umsetzung von NIS2 als reine IT-Aufgabe.
Realität: NIS2 verlangt, dass die Geschäftsführung die Risikomanagementmaßnahmen implementiert und überwacht. In der Richtlinie werden diese Verantwortlichkeiten explizit festgehalten – eine Delegation an die IT-Abteilung, wie in vielen Unternehmen üblich, ist daher nicht mehr möglich. Falls ein Unternehmen unter NIS 2 fällt, ist bei entsprechenden Verfehlungen des Managements eine persönliche Inanspruchnahme der Geschäftsführer oder Vorstände aufgrund der expliziten Nennung der Verantwortlichkeit deutlich leichter möglich, wenngleich wir auch bereits jetzt der Meinung sind, dass IT-Sicherheit eine der Kardinalspflichten des Managements ist. Durch die Richtlinie wird diese Pflicht jedoch nochmals klar hervorgehoben.
Lösungsstrategie:
Fehleinschätzung: Viele Unternehmen überschätzen ihr aktuelles Sicherheitsniveau und unterschätzen die Komplexität der NIS2-Umsetzung – dies lässt sich aus den Umfragen der letzte Jahre heraus lesen.
Realität: NIS2 erfordert oft signifikante Anpassungen in den IT- und Sicherheitsstrategien und die Anpassung ist ein umfangreicher Prozess, der Zeit, Ressourcen und Expertise erfordert. Wenn getroffene Maßnahmen vor 2-3 Jahren noch ausreichend waren, bedeutet dies nicht, dass das Cybersicherheitsniveau heute auch noch passt. Stillstand bei Cybersicherheit bedeutet, innerhalb von kürzester Zeit ins Hintertreffen zu geraten. NIS 2 erfordert für viele Unternehmen weitreichende Anpassungen.
Lösungsstrategie:
„Die rechtlichen Konsequenzen sind nicht so gravierend“
Fehleinschätzung: Einige Unternehmen unterschätzen die rechtlichen Folgen bei Nichteinhaltung.
Realität: Ähnlich der DSGVO sieht die Richtlinie sieht die Richtlinie weitreichende Aufsichts- und Sanktionsrechte vor. Je nachdem ob das Unternehmen als „wesentliche“ oder „wichtige“ Einrichtung zu beurteilen ist, beträgt bei wesentlichen Einrichtungen der Bußgeldrahmen bis zu 10 Millionen Euro oder bis zu 2 Prozent des weltweiten Umsatzes. Bei wichtigen Einrichtungen beträgt dieser immer noch bis zu 7 Millionen Euro oder bis zu 1,4 Prozent des weltweiten Umsatzes. Bei wesentlichen Unternehmen sind ex-ante Sicherheitsprüfungen vorgesehen, d.h. die Behörde kann die Sicherheitsvorkehrungen jederzeit kontrollieren, während bei wichtigen Einrichtungen „nur“ bei begründetem Verdacht (ex-post) kontrolliert werden darf.
Lösungsstrategie:
Die Umsetzung von NIS2 ist eine komplexe Aufgabe, die viele Unternehmen vor Herausforderungen stellt. Durch das Erkennen und Adressieren dieser häufigen Fehleinschätzungen können Organisationen jedoch einen proaktiven Ansatz wählen und haben bis zu Verabschiedung des österreichischen Gesetzes voraussichtlich noch etwas Zeit. Es ist entscheidend, frühzeitig zu handeln, umfassend zu planen und alle Bereiche des Unternehmens in den Prozess einzubeziehen. Im Gegensatz zu vielen anderen Regulativen geht es hier nicht nur um eine effektive und nachhaltige Compliance mit NIS2, die „nur“ rechtliche Risiken minimiert, sondern getroffene Maßnahmen stärken hier auch effektiv die Widerstandsfähigkeit gegen Cyberangriffe – damit man nicht zum nächsten vielzitierten Beispiel in den Medien wird.
TEILEN SIE DEN ARTIKEL
Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz
Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.
Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer
Finanzinstitutionen,
Kommerzielle Kunden
Finanzinstitute, Private Equity, Werbung & Medien etc.
Diese betreffen unsere angebotenen D&O-Versicherungen sowie unseren Cybertarif für Dienstleistungsunternehmen in Kooperation mit MARKEL.
WEITERLESEN
Der Cyber Resilience Act markiert einen wichtigen Schritt zur Verbesserung der Cybersicherheit in der EU und darüber hinaus.
WEITERLESEN
Das Internet ist voll von Sicherheitslücken, die von Hackern ausgenutzt werden können, um sensible Daten zu stehlen oder Systeme zu manipulieren. Doch wie bewertet man diese?
WEITERLESEN
Nach oben scrollen