Alle 14 Tage aktuelle News aus der IT-Szene >
Geschäftspartner der „kritischen Infrastruktur“ müssen voraussichtlich ab Oktober einen Nachweis über ihre Cybersecurity-Maßnahmen erbringen. Wenn nicht, droht das Ende von Geschäftsbeziehungen. Laut einer aktuellen Studie betrifft die EU-Richtlinie jedes dritte österreichische Unternehmen.
Foto: stock.adobe.com/your123 Österreich muss die NIS2-Richtlinie der EU bis zum 17. Oktober 2024 umsetzen. Tags darauf müssen Unternehmen der kritischen Infrastruktur und deren Partner Nachweise für durchgeführte Cybersecurity-Maßnahmen erbringen. Das Risiko von Cyberattacken steigt kontinuierlich, die notwendigen Gegenmaßnahmen sind für Unternehmen oft mit hohem Aufwand verbunden. In diesem Jahr kommt ein weiterer Faktor hinzu – die EU-NIS2-Richtlinie, die Österreich bis 17. Oktober 2024 umgesetzt haben muss. Diese soll für ein höheres Sicherheitsniveau von Netz- und Informationssystemen sorgen, sowie die Resilienz und die Reaktion auf Sicherheitsvorfälle innerhalb der EU verbessern.
Nach Gültigwerden der Richtlinie müssen sowohl Unternehmen der kritischen Infrastruktur, dazu zählen unter anderem Betriebe aus den Bereichen Energie, Bankwesen, Verkehr, Gesundheitswesen, digitale Infrastruktur oder die öffentliche Verwaltung, als auch deren Geschäftspartner einen Nachweis erbringen, der konkrete Maßnahmen in Bezug auf Cybersicherheit belegt. Hintergrund ist, dass durch die Geschäftsbeziehung per se und ganz besonders durch IT-Schnittstellen und Anbindungen ein potenzielles IT-Sicherheitsrisiko entsteht. „Davon sind aber keineswegs nur die großen Unternehmen betroffen. Das kann auch eine kleine Cateringfirma sein, die im Zuge der Aufträge via IT-Schnittstellen mit dem Auftraggeber kommuniziert“, erklärt Ricardo-José Vybiral, CEO der Holding des Kreditschutzverband von 1870 (KSV1870).
Wie aus der aktuellen Austrian-Business-Check-Umfrage des KSV1870 hervorgeht, stehen 33 Prozent aller in Österreich tätigen Unternehmen in Geschäftsbeziehungen mit Betrieben der kritischen Infrastruktur – davon lukrieren drei von vier Unternehmen Umsätze, die zumindest elf Prozent ihres jährlichen Gesamtumsatzes ausmachen.
Aktuell beschäftigen sich lediglich sechs Prozent der befragten Betriebe intensiv mit NIS2. Weitere 41 Prozent wissen zwar, dass im eigenen Betrieb akuter Handlungsbedarf besteht, setzen sich damit jedoch maximal „ein wenig“ auseinander oder ignorieren notwendige rechtliche Erfordernisse zur Gänze. „Bei Missachtung der neuen Richtlinie setzen betroffene Betriebe nicht nur ihre wirtschaftliche Souveränität leichtfertig aufs Spiel, sondern müssen sich die Entscheidungsträger im Ernstfall auch mit verschärften Haftungsfragen und möglichen Geldbußen von bis zu 10 Mio. Euro oder zwei Prozent des weltweiten Jahresumsatzes auseinandersetzen“, so Vybiral.
Wie es um die aktuelle Cybersicherheit der heimischen Unternehmen abseits von NIS2 bestellt ist, hat die KSV1870-Tochter Nimbusec im Rahmen des CyberRisk Report 2024 erhoben. Laut der Studie überschätzen 87 Prozent der heimischen Unternehmen ihre eigene Cybersicherheit, konnten also keinen schlüssigen Nachweis für durchgeführte Security-Maßnahmen erbringen. „Trotz eines laufend steigenden Cyberrisikos ist das Bewusstsein für ein professionelles Sicherheitsmanagement in Österreich weiterhin besorgniserregend niedrig. Wer jetzt nicht handelt, darf sich später nicht wundern, sein ‚blaues Cyberwunder‘ zu erleben und tief in die Tasche greifen zu müssen, um Systeme wieder zum Laufen zu bringen“, erklärt Alexander Mitter, Geschäftsführer von Nimbusec. Der KSV1870 bietet mit seinem CyberRisk Rating ein Tool zur Bewertung von Cyberrisiken von Dienstleistern, Lieferanten und Dritten.
Dass ein objektiver Cybersicherheitsnachweis auch für Großunternehmen ein wesentliches Kriterium ist, zeigt SAP Österreich. Das Unternehmen wurde kürzlich mit einem der bisher besten ausgestellten CyberRisk Ratings bewertet. Geschäftsführerin Christina Wilfinger dazu: „Mit der digitalen Transformation und der in Kraft tretenden Gesetzgebung ist es für Unternehmen immer wichtiger, ein hohes Sicherheitsniveau zu halten.“ SAP sei sich seiner Verantwortung bewusst, laufe doch ein Großteil des betrieblichen Datenverkehrs auf der ganzen Welt über SAP-Systeme, so Wilfinger weiter: „Wir freuen uns daher, dass wir im CyberRisk Rating eine Spitzenposition einnehmen können und Unternehmen helfen, Sicherheitsmaßnahmen zum Schutz ihrer geschäftskritischen Anwendungen zu etablieren. Wir sind hier in einer Vorreiterrolle, mit umfassender Technologie die Innovationskraft europäischer Unternehmen zu stärken und zu schützen.“