EU fordert Cyberabwehr der Unternehmen neu heraus

Die beiden Veranstaltungen wurden von der Österreichischen Computer Gesellschaft (ÖCG) gemeinsam mit CRYPTAS durchgeführt. Moderiert von Ingrid Schaumüller-Bichl (FH OÖ und OCG) diskutierten die Vortragenden Verena Becker (WKO), Arno Spiegel (Bundeskanzleramt), Wolfgang Resch (OCG), Thomas Pfeiffer (Linz Netz), Stefan Bumerl (CRYPTAS), Martin Gegenleitner (Thales) und Roman Tober (EY) unter anderem über die Unterschiede der Anforderungen von NIS-2 und ISO 27001-Zertifizierung und darüber, wie der geforderte hohe Standard für alle Betriebe erreichbar sein kann.

Alle Sprecherinnen und Sprecher der Veranstaltungen waren sich darin einig, dass die Zeit drängt. Arno Spiegel vom Bundeskanzleramt hob in seinem Beitrag besonders die Lieferkettensicherheit hervor, erläuterte Risikomanagementmaßnahmen und die Frage, welche Sektoren betroffen sind.

Im Verlauf beider Diskussionsrunden zeigte sich: Generell werden alle NIS-1-Betroffenen auch von der NIS-2 betroffen sein, die Nomenklatur ändert sich aber: In Zukunft gibt es einen erweiterten Kreis sogenannter Wesentlicher Einrichtungen und viele neue Bereiche mit Wichtigen Einrichtungen. Derzeitige Schätzungen gehen von rund 900 “Wesentlichen” Einrichtungen und etwa 2.500 “Wichtigen” Einrichtungen in Österreich aus.

Management in der Pflicht

Bis zum 17. Oktober 2024 muss die Richtlinie national umgesetzt werden – das heißt alle betroffenen Einrichtungen müssen Cybersicherheits-Risikomanagementmaßnahmen ergreifen. Zur Durchsetzung sind Verwaltungssanktionen vorgesehen, wobei zuerst wahrscheinlich abgemahnt werden wird und die Bußgelder nicht das Hauptproblem werden dürften. Allerdings drohen über das Zivilrecht für die Firmen Schadensersatzforderungen, falls es zu Vorfällen kommen sollte, die Dritte betreffen. Eine Motivation zur gewissenhaften Umsetzung ist sicher auch die Tatsache, dass in Zukunft leitende Angestellte für Pflichtverletzungen haftbar gemacht werden können.