Sicherheitsalarm: Ab dem 18. Oktober müssen Unternehmen EU-weit den Nachweis erbringen, dass sie geeignete Cybersecurity-Maßnahmen erfüllen.
©iStockphotoIn fünf Monaten, am 18. Oktober 2024, tritt die EU-NIS2-Richtlinie in Kraft. Geschäftspartner der „kritischen Infrastruktur“ müssen ab dann einen Nachweis über ihre Cybersecurity-Maßnahmen erbringen. Andernfalls droht das Ende von Geschäftsbeziehungen. Der KSV1870 mahnt: "Jedes dritte Unternehmen Österreichs ist betroffen" und bietet Unterstützung an.
Die Uhr tickt. Noch fünf Monate, und dann tritt die neue EU-Cybersicherheitsrichtlinie "NIS2" in Kraft. Unternehmen müssen von diesem Zeitpunkt an den Nachweis erbringen, dass sie die Bestimmungen erfüllen und somit die in der Richtline festgelegten Sicherheitsvorkehrungen zum Schutz der eigenen Daten, Maßnahmen gegen Cyber-Attacken und Vorkehrungen zum sicheren Datenaustausch erfüllen. Andernfalls dürfen sie keine Geschäftsbeziehungen mit Unternehmen aus der "kritischen Infrastruktur" innerhalb der EU mehr unterhalten.
Zu dieser etwas schwammig formulierten Gruppe gehören dem EU-Positionspapier zufolge "Unternehmen aus allen Sektoren, die für unsere Wirtschaft und Gesellschaft von entscheidender Bedeutung sind und stark auf IKT angewiesen sind, wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitsversorgung und digitale Infrastruktur".
Unternehmen, die als Betreiber wesentlicher Dienste in den oben genannten Sektoren eingestuft wurden, müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren. Wichtige Anbieter digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze müssen die Sicherheits- und Benachrichtigungsanforderungen der Richtlinie erfüllen. Und: alle Betriebe, die Geschäftsbeziehungen zu diesen Unternehmen unterhalten, benötigen ein entsprechendes NIS2-Zertifikat.
KSV1870 sieht akuten Handlungsbedarf
Der Gläubigerschutzverband KSV1870 warnt vor möglichen fatalen wirtschaftlichen Folgen, wenn dieser Nachweis nicht erbracht wird und mahnt dazu, rechtzeitig aktiv zu werden. Damit die heimischen Betriebe den erforderlichen Nachweis möglichst günstig und einfach erlangen können, hat der KSV1870 das NIS-konforme CyberRisk Rating ins Leben gerufen. Dieses Rating gilt - im positiven Fall - als Qualifikation, um weiterhin mit Unternehmen der "kritischen Infrastruktur" Geschäftsbeziehungen zu unterhalten (siehe: Das CyberRisk Rating des KSV1870).
Die jüngste vom KSV1870 durchgeführte Austrian-Business-Check-Umfrage vom März 2024 zeigt dafür auch einen enormen Handlungsbedarf auf. Ab Oktober werden nämlich mehr als 4.000 heimische Unternehmen von ihren Lieferanten einen Nachweis über bestehende Cybersecurity-Maßnahmen verlangen müssen. Ein Fakt, der in der österreichischen Unternehmenslandschaft noch weitgehend unbekannt ist, und der rund ein Drittel der Betriebe aktiv werden lassen muss.
Wie aus der Umfrage des KSV1870 vom März hervorgeht, stehen nämlich 33 Prozent aller in Österreich tätigen Unternehmen in Geschäftsbeziehungen mit Betrieben der „kritischen Infrastruktur“. Davon lukrieren drei von vier Unternehmen Umsätze in der Höhe von zumindest elf Prozent ihres jährlichen Gesamtumsatzes. Für sie kann die Missachtung der EU-NIS2-Richtlinie existenzentscheidend sein.
„Bei Missachtung der neuen Richtlinie setzen betroffene Betriebe nicht nur ihre wirtschaftliche Souveränität leichtfertig aufs Spiel, sondern müssen sich die Entscheidungsträger im Ernstfall auch mit verschärften Haftungsfragen und möglichen Geldbußen von bis zu 10 Mio. Euro oder zwei Prozent des weltweiten Jahresumsatzes auseinandersetzen“, warnt Ricardo-José Vybiral, CEO der KSV1870 Holding AG.
Hohes und steigendes Cybercrime-Bedrohungsrisiko
Opfer einer Cybercrime-Attacke zu werden ist für Unternehmen ein einer gefühlten Ewigkeit virulentes und stetig steigendes Risiko. Laut polizeilicher Anzeigenstatistik 2023 wurden im vergangenen Jahr in Österreich rund 66.000 Delikte von Internetkriminalität gezählt. Die Dunkelziffer der nicht gemeldeten Angriffe liegt bei einem Vielfachen.
Schon das sollte den Unternehmen Warnung genug sein, ihre betriebliche Cyber- und IT-Sicherheit stets auf dem neuesten Stand zu halten. Mit Inkrafttreten der NIS2-Richtline kommt auf die Betreibe nun auch die juristische Verpflichtung zu, für Cybersicherheit zu sorgen. Hintergrund ist, dass durch die Geschäftsbeziehung per se und ganz besonders durch IT-Schnittstellen und Anbindungen ein potenzielles IT-Sicherheitsrisiko entsteht. „Davon sind aber keineswegs nur die großen Unternehmen betroffen. Das kann auch eine kleine Cateringfirma sein, die im Zuge der Aufträge via IT-Schnittstellen mit dem Auftraggeber kommuniziert“, erklärt Vybiral.
„Trotz eines laufend steigenden Cyberrisikos ist das Bewusstsein für ein professionelles Sicherheitsmanagement in Österreich weiterhin besorgniserregend niedrig. Wer jetzt nicht handelt, darf sich später nicht wundern, sein ‚blaues Cyberwunder‘ zu erleben und tief in die Tasche greifen zu müssen, um Systeme wieder zum Laufen zu bringen“, betont auch Alexander Mitter, Geschäftsführer der KSV1870 Nimbusec GmbH.
Das CyberRisk Rating des KSV1870
Das Rating bewertet Cyberrisiken von Dienstleistern, Lieferanten und Dritten. Dahinter steht ein standardisiertes, mehrstufiges Verfahren. Wer damit die NIS-Anforderungen für Lieferanten erfüllen möchte, benötigt je nach Risikoeinstufung ein B-, A- oder A+-Rating – sie alle basieren auf dem Cyber-Risk-Schema des KSÖ (Kompetenzzentrum Sicheres Österreich), das im NIS Fact Sheet 9/22 des Bundeskanzleramtes und des Bundesministeriums für Inneres als „Best Practise“ anerkannt ist.
Ein B-Rating bedeutet, dass ein Basis-Cyber-Schutzniveau vorhanden ist. Beim A-Rating werden alle 25 Anforderungen des KSÖ bewertet – auch jene, die oft mit hohen Kosten verbunden sind. Bei „A+“ erstellt zusätzlich ein Audit-Partner einen Bericht über die bewertete Organisation und erhöht so die Zuverlässigkeit noch weiter.
Weitere Informationen: https://cyberrisk-rating.at/