NIS2 und Cybersicherheit
Was hält die NIS2-Richtlinie genau für Ihr Unternehmen bereit? Und, für wen wird sie gelten bzw. ab wann?
Trotz vieler offener Fragen besteht erstmal kein Grund zur Panik. Aber: es ist jedenfalls eine gute Idee, den Stand der Cybersicherheit in Ihrer Organisation so bald wie möglich zu überprüfen.
Cyber Security kompakt
Cybersicherheit ist in aller Munde und bleibt auch vorerst topaktuell.
So wie wir die Grundsätze der Arbeitssicherheit und des Brandschutzes kennen und achten, sollten wir unser Wissen um die Grundsätze der Cybersicherheit erweitern.
Bei der Cybersicherheit geht es heute nicht mehr nur um Firewalls und Antivirus-Programme, sondern auch um die Einrichtung von Abläufen und Regeln und dass auf aktuelle Bedrohungen schnell reagiert wird.
Damit geht es nicht nur um IT, sondern auch um das Verhalten von Mitarbeitern und Lieferanten, besonders im Ernstfall. Wir alle haben also eine Verantwortung für die Datensicherheit, nicht nur im Rahmen unserer beruflichen Pflichten, sondern auch in unserem Privatleben.
NIS2 - was bedeutet das genau?
= Directive of the European Parliament...
...and of the Council on measures to ensure a high common level of cybersecurity.
Ziel
NIS2 soll die Grundlagen der Cybersicherheit für ein breiteres Spektrum von Organisationen schaffen, als dies bei NIS1 der Fall war. Dadurch wird die Cybersicherheit der EU-Mitgliedstaaten verbessert.
Wer?
- Stärkung der Zusammenarbeit zwischen der EU und der jeweils nationalen Aufsichtsbehörde.
- Umsetzung durch (wirtschaftliche) Akteure, abhängig von Branche und Größe
Vorteile
- Mehr Befugnisse für die Aufsichtsbehörde, z.B.
- in Form von Warnungen, Maßnahmen oder Audits bei Organisationen
- Erhöhung der Bußgelder bei Nichteinhaltung
Nationale Cybersicherheitsstrategie
- Verabschiedung einer nationalen Cybersicherheitsstrategie
- Ausweitung der regulierten Dienste, d. h. Erhöhung der Zahl der Organisationen, die Verpflichtungen unterliegen
- Einführung von Sicherheitsmaßnahmen für regulierte Dienste
Betrifft Sie NIS2?
Die Anforderungen der NIS2-Richtlinie sind auf dem Gebiet der Cybersicherheit nichts Neues. Wenn Ihre Organisation unter das Cybersicherheitsgesetz fällt oder Sie über ein Informationssicherheitsmanagementsystem verfügen, werden die Neuerungen sich für Sie in Grenzen halten.
Wenn die Cybersicherheit jedoch neu für Ihre Organisation ist, dann wird es für Sie mit größerem Aufwand verbunden sein die neuen Verpflichtungen zu erfüllen.
Zeitrahmen
Wichtig ist, dass die NIS2-Richtlinie den Unternehmen selbst keine direkten Verpflichtungen auferlegt. Obwohl NIS2 am 16. Januar 2023 in Kraft getreten ist, hält diese fest, dass die Mitgliedstaaten 21 Monate Zeit haben, um die Anforderungen der Richtlinie in ihre lokalen Rechtsvorschriften zu übernehmen - also anders als bei DORA zum Beispiel.
Bis zum Ablauf dieser Zeitspanne soll eine Änderung des Cybersicherheitsgesetzes vorliegen, das dann auch von den Akteuren umgesetzt wird.
Man ist verleitet daraus zu schließen, dass noch genügend Zeit ist und Cybersicherheit kein Thema ist, mit dem man sich befassen muss. Aber das Gegenteil ist der Fall.
Verantwortungsbewusste Organisationen befassen sich kontinuierlich damit und warten nicht auf neue Rechtsvorschriften.
NIS2 in Österreich
Die Cybersicherheits-Richtlinie soll also Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU verbessern. In Österreich gilt das für große "wesentliche" Unternehmen aus diesen Bereichen - und damit auch für zahlreiche unserer Kunden:
- Energie
- Verkehr
- Bankwesen
- Finanzmarkt
- Gesundheit
- Trinkwasser
- Abwasser
- Verwaltung von IKT-Diensten
- Weltraum
ORBIT Fazit
Cyber-Vorfälle nehmen leider zu und kein Unternehmen kann garantieren, dass der nächste Vorfall nicht es selbst betrifft.
Es ist daher wichtig, dass alle Sicherheitsmaßnahmen, obligatorisch oder nicht - ein Ziel haben: die Daten und das Geschäft Ihres Unternehmens und damit auch Ihre Kunden zu schützen.
Kümmern Sie sich also jetzt um die Cybersicherheit, unabhängig von der Gesetzgebung - entweder auf eigene Faust oder mit Hilfe von Experten. Und vor allem: Schützen Sie Ihre Daten, ob auf lokalen Servern oder noch besser in der Cloud.