Wie sich NIS 2 auf Mitarbeiter in Unternehmen auswirken wird

Tausende Unternehmen, die als wichtig für das gesellschaftliche Zusammenleben eingestuft werden, müssen sich in den nächsten Monaten auf die EU-Richtlinie NIS 2 einstellen. Mit ihr soll die Cybersicherheit innerhalb Europas auf ein gemeinsames, hohes Niveau gehoben werden. 

➤ Mehr lesen: Warum sich Tausende Unternehmen auf NIS 2 vorbereiten sollten

In Österreich wurde erst vor wenigen Tagen ein Gesetzesentwurf dazu vorgelegt, der konkretisiert, was betroffene Unternehmen zu tun haben. NIS 2 wird sich in vielfältiger Weise auf Firmen und ihre Mitarbeiter*innen auswirken. Wir haben mit dem Datenschutzexperten Sebastian Klocker vom Österreichischen Gewerkschaftsbund (ÖGB) darüber gesprochen.

futurezone: NIS 2 soll am 18. Oktober in Kraft treten. Bisher gab es einige unklare Punkte, was das für Unternehmen in Österreich bedeutet. Herrscht durch den Gesetzesentwurf nun mehr Klarheit?
Sebastian Klocker: Eine große offene Frage war immer, welche Behörde für die Umsetzung von NIS 2 zuständig sein wird. Nun wird klargestellt, dass es eine Cybersicherheitsbehörde sein soll, die im Innenministerium aufgebaut wird. Das Gesetz braucht aber eine Zweidrittelmehrheit im Nationalrat, also es ist noch Verhandlungsspielraum vorhanden.

Über 200 Personen sollen in dieser Cybersicherheitsbehörde arbeiten, die bis Oktober aufgebaut werden soll. Ist das zeitlich nicht etwas knapp?
Ja, das Vorhaben ist sehr sportlich. Angesichts des Fachkräftemangels im Cybersecurity-Bereich wird es schwierig werden, geeignetes Personal zu finden. Der Aufbau der Behörde wird sicher länger dauern.

Unternehmen müssen sich innerhalb von 3 Monaten nach Inkrafttreten der Richtlinie registrieren lassen. Wie sollen diese Registrierungen von einer Behörde abgewickelt werden, die gerade erst aufgebaut wird?
Ich glaube, man wird mal zuwarten, bis alle Meldungen reingekommen sind. Nach 3 Monaten wird sicherlich mit den Überprüfungen nicht scharf geschossen. Es wird den Unternehmen von Behördenseite sicher genug Zeit gegeben werden, um die Anforderungen zu erfüllen.

Welche konkreten Maßnahmen müssen Unternehmen umsetzen, um NIS-2-konform zu sein?
Es müssen Risikoanalysen im kompletten Unternehmen durchgeführt werden und ganz klare Rollen und Verantwortlichkeiten festgelegt werden. Wer hat was genau zu tun, wenn es zu einer Cyberattacke oder einer Erpressung mittels Ransomware kommt? Da kommt es sehr darauf an, wie ein Unternehmen organisiert und strukturiert ist. Zugriffsberechtigungen sind auch enorm wichtig. Wer hat wann Zugriff auf Computersysteme gehabt, was hat die Person darin gemacht?

➤ Mehr lesen: "Ransomware ist das perfekte Geschäftsmodell"

Von welchen Maßnahmen werden Mitarbeiter*innen abseits von IT-Abteilungen betroffen sein?
Beim Personalmanagement kann es für Stellen in sensiblen Bereichen zu Hintergrundchecks kommen. Es werden klare Regelungen im Betrieb notwendig sein, welche Personen welche Sicherheitsvorgaben zu erfüllen haben. Ein wichtiger Aspekt werden auch Fortbildung und Sensibilisierungsmaßnahmen sein. 

Für Vorstand, Aufsichtsrat und Geschäftsführer*innen sind laut dem Gesetzesentwurf "spezifisch gestaltete Sicherheitsschulungen" vorgeschrieben. Was soll darin vermittelt werden?
Mit NIS 2 wird Risikomanagement zur Chefsache werden. Leitungsorgane müssen an Schulungen teilnehmen. Es wird definitiv darum gehen, Wissen zur Erkennung und Bewertung von Cybersicherheitsrisiken und damit verbundene Managementpraktiken zu erlangen. Anderen Mitarbeiter*innen müssen Schulungen angeboten werden. Das ist aber abhängig von ihrem Arbeitsbezug mit IT-Systemen.

➤ Mehr lesen: China soll hinter jahrelanger Cyberattacke auf den Westen stecken

Was wird Mitarbeiter*innen dabei beigebracht werden?
Für jede*n Angestellte*n wird es unterschiedliche Anforderungen geben, je nachdem in welchem Bereich die Person arbeitet. Im Büroalltag ist Phishing eines der größten Probleme. Mit dem Aufkommen von generativer Künstlicher Intelligenz hat die Gefährdungslage zugenommen. Wichtig wäre, dass Mitarbeiter*innen ungefähr wissen, wie sie E-Mails prüfen können. Außerdem muss es eine Meldemöglichkeit geben. Es muss eine gewisse Kultur herrschen, dass man verdächtige Dinge eher einmal zu viel als zu wenig meldet.

Wie streng müssen Zugangskontrollen gestaltet sein? Reicht eine Chipkarte oder braucht es biometrische Methoden wie einen Fingerabdruck-Scanner?
Jedes Unternehmen muss das anhand seiner Risikoanalysen selbst einschätzen. Der Datenschutz wird durch NIS 2 aber nicht aufgehoben. Es muss immer das gelindeste, am wenigsten invasivste Mittel genommen werden, das nicht in die Privatsphäre der Mitarbeiter*innen eingreift.

➤ Mehr lesen: ViSP: In Wien wird die IT-Sicherheit menschlich gemacht

Was wäre denn nicht erlaubt?
Eine Videoüberwachung von jedem Arbeitsplatz etwa. Kontrollmaßnahmen, die der Menschenwürde zuwider laufen, sind verboten. Bei Maßnahmen, die das Potenzial haben, die Menschenwürde anzugreifen, ist eine Vereinbarung mit dem Betriebsrat notwendig. Der Betriebsrat wird sich nicht querstellen, wenn eine Maßnahme notwendig ist, um ein hohes Cybersicherheitsniveau zu halten, aber Daten, die dabei anfallen, dürfen wirklich nur zu Zwecken der IT-Sicherheit und nicht zur Leistungskontrolle eingesetzt werden.

Werden die NIS-2-Auflagen nicht eingehalten, drohen Unternehmen hohe Strafen, aber es ist von "bis zu"-Werten die Rede. Wer legt die tatsächliche Strafhöhe fest?
Das obliegt der jeweiligen Bezirksverwaltungsbehörde. Es gibt keine Liste an Verstößen, die zu einem Bußgeldbescheid führen können, aber im Gesetz sind Kriterien beschrieben, was darunter fallen kann. Grundsätzlich geht es nicht darum, hohe Strafen auszusprechen. Es ist ein größeres Anliegen, eine gute Kooperation mit Unternehmen zu erreichen. Ein hohes Cybersicherheitsniveau zu erfüllen, ist das höhere Ziel.