Warum sich Tausende Unternehmen auf NIS 2 vorbereiten sollten

Mit Angriffen auf die eigene IT-Infrastruktur sind Unternehmen, öffentliche Verwaltung und Organisationen ständig konfrontiert. Manche gehen damit besser um, andere schlechter. Besonders gefährlich ist Letzteres, wenn es sich um Unternehmen handelt, die wichtig für das gesellschaftliche Zusammenleben sind. Die EU versucht deshalb, mit der sogenannten NIS-Richtlinie ein hohes gemeinsames Cybersicherheitsniveau zu schaffen.

Die erste Richtlinie für die Sicherheit von Netzwerk- und Informationssystemen (NIS) ist 2016 in Kraft getreten. In den vergangenen Jahren wurde eine neue Version mit noch schärferen Regeln erarbeitet, die sich NIS 2 nennt. Die NIS 2 Richtlinie tritt am 18. Oktober 2024 in Kraft. Sie betrifft künftig eine Vielzahl heimischer Unternehmen.

Bisher große Auslegungsunterschiede

"Die erste NIS-Richtlinie war sehr schwammig und hat Mitgliedsstaaten großen Spielraum gelassen. Jeder Staat hat es ganz anders ausgelegt, was 'wesentliche Dienste' sind", erklärt Arno Spiegel, Leiter des NIS-Büros im Bundeskanzleramt. "Wir in Österreich haben das sehr breit betrachtet und sind auf rund 100 Betreiber wesentlicher Dienste gekommen. Dazu zählen z.B. A1, das AKH oder der Flughafen Wien. Andere Staaten haben nur 3 Unternehmen genannt." Mit NIS 2 werde es eine bessere Harmonisierung geben.

Generell gilt NIS 2 für alle Unternehmen, die mittelgroß oder größer sind - also über 50 Beschäftigte und über 10 Millionen Euro Jahresumsatz vorweisen - und eine Schlüsselrolle für Gesellschaft, Wirtschaft oder bestimmte Sektoren aufweisen. Solch eine Schlüsselrolle haben aber auch einige kleinere Unternehmen, weshalb NIS 2 auch für die gilt. "Gerade im Sektor digitale Infrastruktur hat man auch kleinere Firmen hineingenommen, etwa Betreiber von DNS-Diensten oder Internetknoten", sagt Spiegel.

➤ Mehr lesen: Austria Cyber Security Challenge 2024 startet: Neuer Modus fordert Hacker

"Wesentliche" und "wichtige" Unternehmen

Die Liste an betroffenen Unternehmen ist wesentlich länger als jene für NIS 1. Als "Sektoren mit hoher Kritikalität" werden Energie, Verkehr, Bankwesen, Finanzmarktstrukturen, Gesundheitswesen, Trink- und Abwasser, Digitale Infrastruktur, öffentliche Verwaltung oder Weltraum gesehen. Es gibt aber auch "sonstige kritische Sektoren", wie Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes und herstellendes Gewerbe, Anbieter digitaler Dienste oder Forschung.

Im Grunde bleiben also nicht mehr viele Sektoren übrig, die nicht von NIS 2 erfasst werden. Unterschieden wird zusätzlich zwischen "wesentlichen" und "wichtigen" Unternehmen. In welche Kategorie man als Firma hier fällt, macht einen Unterschied bei der Überprüfung der Maßnahmen, die NIS 2 vorsieht. Als "wesentlich" werden nur große Unternehmen aus der Kategorie "hohe Kritikalität" betrachtet, als "wichtig" werden mittelgroße Unternehmen mit "hoher Kritikalität", sowie alle Unternehmen aus "sonstigen kritischen Sektoren" eingestuft. "Wir gehen davon aus, dass wir in Österreich an die 1.000 wesentliche und 3.000 bis 5.000 wichtige Unternehmen haben", sagt Spiegel.

Auch Bäckerei oder Brauerei betroffen

Als Unternehmen festzustellen, ob man unter NIS 2 fällt oder nicht, sei oft sehr schwierig, sagt Verena Becker, Cybersicherheitsexpertin der WKÖ. "Eine Bäckerei mit 70 Mitarbeitern oder eine mittelgroße Brauerei, die fühlen sich nicht kritisch. Für die ist es unverständlich, warum sie sich daran halten müssen." Ein gewisses Cybersicherheitsniveau sei im Interesse jedes Unternehmens. Vielen sei aber gar nicht bewusst, dass sie künftig gewisse Maßnahmen für NIS 2 treffen müssen.

NIS 2 enthält Maßnahmen, um auf europäischer Ebene bei der Bewältigung von Cyberbedrohungen besser zusammenzuarbeiten, die Richtlinie sieht auch eine verstärkte Zusammenarbeit nationaler Behörden vor. Die dritte große Säule sind jene Maßnahmen, die Unternehmen treffen müssen. Dazu zählen etwa die Erstellung von Risikoanalysen, Backups, Schulungen von Mitarbeiter*innen, der Einsatz von Verschlüsselung, Zugangskontrollen, Multifaktor-Authentifizierung oder die Verwendung von sicherer Sprach-, Video- und Textkommunikation. Unternehmen müssen auch überprüfen, wie es um die Cybersicherheit in ihrer Lieferkette bestellt ist und dazu eine Bewertung vorlegen.

Verpflichtende und freiwillige Meldungen

Wenn es zu Cybersicherheitsvorfällen kommt, gelten unter NIS 2 auch bestimmte Meldevorschriften. Bericht erstatten müssen Unternehmen an das Computer Emergency Response Team (CERT), das für den eigenen Sektor zuständig ist. In Österreich sei dies momentan entweder CERT.at oder das Energy CERT für den Energiesektor. Das CERT leitet Meldungen weiter an das Bundesministerium für Inneres (BMI). Dieses wiederum informiert die europäische Cybersicherheitsbehörde ENISA.

Abgesehen von verpflichtenden Meldungen muss es auch die Möglichkeit geben, freiwillige Meldungen zu machen. "In Österreich gibt es das bereits. Wenn es Vorfälle sind, die nicht so schwerwiegend sind, dass die berichtet werden müssen, kann man sie freiwillig und anonymisiert melden", sagt Spiegel. "Das ist vor allem dann interessant, wenn ein Vorfall von mehreren Unternehmen gemeldet wird. Das könnte eine Bedrohung darstellen, die zu einem größeren Problem anwächst."

NIS-2-Unternehmen müssen sich auch einer Überprüfung unterziehen, ob sie die erforderlichen Maßnahmen auch umsetzen. Das BMI wird mithilfe privater Prüfer*innen Kontrollen durchführen. Bei wesentlichen Einrichtungen geschieht das regelmäßig (ex-ante), weil wichtigen nur bei begründeten Verdachtsfällen (ex-post). Wenn sich Unternehmen nicht an die vorgegebenen Regelungen halten, haben sie laut europäischer Vorgabe mit einer Strafe bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Gesamtumsatzes zu rechnen.

Nationales Gesetz fehlt noch

Details dazu, wie NIS 2 in Österreich konkret umgesetzt werden muss, sind noch unbekannt. Ein nationales NIS-2-Gesetz fehlt. Darin sollte auch beschrieben werden, wie Unternehmen und Institutionen überhaupt als NIS-2-Einrichtungen erfasst werden. "Aller Voraussicht nach werden sich Unternehmen selbstständig registrieren lassen müssen", sagt Verena Becker. Bei NIS 1 erhielten Unternehmen noch einen behördlichen Bescheid. So etwas für Tausende Unternehmen durchzuführen, sei organisatorisch kaum möglich. Wer sich nicht meldet, muss aber womöglich mit Strafen rechnen.

Für Unternehmen sei dies eine sehr belastende Situation, sagt Becker. In anderen Ländern, etwa den Nachbarn Ungarn oder Tschechien, gebe es bereits nationale NIS-2-Gesetze. In Deutschland werden Gesetzesentwürfe diskutiert. In Österreich dagegen wurde noch nicht einmal ein Entwurf vorgelegt. Das Fehlen eines Gesetzes erschwere es Unternehmen, konkrete Maßnahmen im Sinne von NIS 2 umzusetzen.

Fördersituation ist unsicher

Die Umsetzung bedeutet einen enormen organisatorischen und finanziellen Aufwand. Es gibt eine Förderung dafür, die Cyber Security Schecks der FFG. Damit werden bis zu 40 Prozent der Gesamtkosten eines konkreten Cybersicherheitsprojekts gefördert, maximal sind es 10.000 Euro pro Unternehmen. Bisher wurde der Fördertopf (möglicherweise mangels NIS-2-Gesetz) gar nicht voll ausgeschöpft, künftig sei allerdings eine Überzeichnung zu befürchten. Dann wird per Zufallslos entschieden, welches Unternehmen eine Förderung erhält.

"Wenn das NIS-2-Gesetz in Kraft tritt, brauchen wir ganz dringend Förderungen. Wenn Unternehmen die Kosten alleine stemmen müssen, ist das nicht allein ihr Pech. Wir brauchen Cybersicherheit als Gesamtgesellschaft", sagt Becker. "Cyberkriminalität steigt stark an und es kann jeden treffen. Das ist ein wenig so wie bei der Corona-Pandemie. Selbst mit Maske kann es dich treffen und du kannst andere anstecken." Spiegel rät Unternehmen, nicht auf das NIS-2-Gesetz zu warten, sondern sich so früh wie möglich Gedanken über passende Cybersicherheitsmaßnahmen zu machen.

Ob man als Unternehmen oder Institution künftig unter NIS 2 fällt, kann man über einen Online-Ratgeber der WKO schnell feststellen.