Seit 16. Jänner 2023 ist die neue NIS2-Richtlinie für die wirkungsvolle Stärkung der Cybersicherheit in der Europäischen Union in Kraft, ab 18. Oktober 2024 ist sie gesetzlich bindend. Für Unternehmen bedeutet das: Noch ein knappes Jahr Handlungsspielraum, um sich zu informieren, ob man unter die NIS2-Richtlinie fällt und welche ,Maßnahmen man im Bedarfsfall umsetzen muss. Höchste Zeit also, zu handeln, denn die fachkundige Bedarfsanalyse und Implementierung für die rechtzeitige Befolgung der NIS2-Richtlinie in der eigenen Unternehmens-IT braucht entsprechend Zeit – und eine Fristversäumnis kann viel Geld kosten. Der richtige Zeitpunkt für ein erstes Informationsgespräch mit den HXS Cybersecurity-ExpertInnen ist daher genau jetzt.
Wie bei allen neuen gesetzlichen Verordnungen steht auch bei der NIS2-Richtlinie zuerst die Frage im Vordergrund: Wann tritt sie tatsächlich in Kraft? Die Antwort darauf lautet: genau genommen schon vorgestern. Denn grundsätzlich gilt die NIS2-Richtlinie bereits jetzt und ist am 16. Jänner 2023 in Kraft getreten, ab 18. Oktober 2024 ist sie in allen EU-Staaten gesetzlich bindend. Die Uhr tickt also bereits laut, denn betroffene Unternehmen sollten schon bis kommenden Herbst alle nötigen Maßnahmen für die Befolgung der NIS2-Richtlinie über die Bühne gebracht haben. Und wenn man einrechnet, dass von der ersten Analyse bis zur kompletten Implementierung ein Zeitraum von ca. einem halben Jahr oder auch mehr nötig sein kann, sollte man unbedingt noch im letzten Quartal 2023 alles Nötige in die Wege leiten, damit es dann 2024 nicht knapp wird oder sogar empfindliche Bußgelder für Versäumnisse fällig werden.
Doch worum geht es bei der bei der NIS2 Richtlinie eigentlich und welche Unternehmen sind tatsächlich betroffen? „Grundsätzlich geht es um ein sehr sinnvolles Thema“, erklärt HXS Security- und Network Experte Lorenz Bindhammer, „nämlich darum, die Cybersicherheit in der Europäischen Union zu stärken: durch ein einheitliches Sicherheitsniveau für die Netzwerke und Informationssysteme von kritischen und sensiblen Infrastrukturen in allen EU-Mitgliedsländern. Und das ist absolut notwendig, denn mit dem rapiden Fortschritt in der IT werden auch die Angriffsszenarien technisch immer raffinierter und gefährlicher. Wenn man sich etwa alleine in Österreich die aktuellen Cybercrime-Reports des Bundeskriminalamts ansieht, so waren es noch 2015 rund 10.000 Cybercrime-Fälle pro Jahr. Mittlerweile sind es über 60.000 bzw. das Sechsfache, und die Kurve steigt weiter steil nach oben. Und auch wir stellen bei HXS in der Praxis fest, dass häufig auch große und renommierte Unternehmen empfindliche Sicherheitslücken aufweisen und Cyberattacken ausgesetzt sind, die bis zum tage- oder sogar wochenlangen Stillstand führen können. Deshalb sollte man als Unternehmer die neue NIS2-Richtlinie keinesfalls als lästige und kostspielige EU-Bürokratie sehen, sondern als wertvolles Investment, um sein Unternehmen nach den aktuellen Erfordernissen zu überprüfen und auf den dringend erforderlichen neuesten Stand der Cybersicherheit zu bringen.“
Die NIS2 Richtlinie ist im Grunde nichts Neues, denn im Wesentlichen erweitert sie den Anwendungsbereich der vorherigen NIS EU-Richtlinie von 2016 und passt sie in verschärfter Weise an die aktuellen Erfordernisse und Bedrohungsszenarien an. Das bedeutet: Mit NIS2 sind jetzt nicht nur alleine besonders kritische Infrastrukturen wie beispielsweise die Energieversorgung oder Verkehrssysteme von den Richtlinien betroffen, sondern z.B. auch wichtige digitale Dienstleister und so genannte „wesentliche und wichtige Einrichtungen“. Zu diesen zählen neben den bereits genannten Energie- und Verkehrsunternehmen z.B. auch Banken und Finanzdienstleister, Gesundheitsunternehmen oder auch Unternehmen aus der Informations- und Kommunikationstechnik.
Zu den „wesentlichen und wichtigen Einrichtungen“ werden jetzt allerdings nicht nur große Infrastrukturdienstleister und Großunternehmen aus den genannten Branchen gezählt, sondern z.B. auch mittelgroße Unternehmen aus Sektoren mit hoher Kritikalität. Das können z.B. Mittelbetriebe aus Sparten wie Chemie, Güter- und Lebensmittelproduktion, digitale Dienstleistungen oder auch Forschungs- und Wissenschaftsunternehmen sein.
Neben diesen Groß- und Mittelbetrieben können nun jedoch auch Kleinbetriebe bei entsprechender Kritikalität durchaus unter die NIS2-Verordung fallen, z.B. wenn sie ein so genannter Vertrauensdienstanbieter sind (also z.B. elektronische Validierungs- oder Zustelldienste anbieten), ein Anbieter zugänglicher elektronischer Kommunikationsdienste oder, wie es der Verordnungstext definiert, ein so genannter „alleiniger Anbieter eines Service, der essenziell für die Aufrechterhaltung kritischer gesellschaftlicher/wirtschaftlicher Aktivitäten ist.“ Insbesondere für mittelständische Unternehmen und für Kleinbetriebe können sich deshalb hier oft viele Fragezeichen auftun. Denn wie bei EU-Richtlinien leider oft üblich, bedeutet auch dieses Thema für Laien einen oft schwierig durchschaubaren Bürokratiedschungel – umso wertvoller ist es daher, einen kompetenten Cybersecurity-Partner wie HXS an der Seite zu haben um sich zu diesem wichtigen Thema schnell und zuverlässig Klarheit zu verschaffen.
Denn wie Lorenz Bindhammer eindringlich betont:
„Fällt man als Unternehmen unter die neue NIS2-Richtlinie, so ist es jetzt allerhöchste Zeit, sich einen klaren Überblick über die erforderlichen Maßnahmen zu verschaffen und diese in die Wege zu leiten – denn 2024 steht schon bald vor der Tür, und die Analyse, die Entwicklung eines klaren Maßnahmen-Fahrplans sowie die Implementierung benötigen entsprechend Zeit.
Hinzu kommt, dass man das Thema NIS2 keineswegs bagatellisieren oder aufschieben sollte, denn bei Verstößen gegen die Richtlinie können sehr empfindliche Bußgelder und Sanktionen fällig werden: Für die kritischste Unternehmenskategorie der wesentlichen Einrichtungen liegt der Bußgeldrahmen bei 10 Mio. Euro oder 2 Prozent des weltweiten Umsatzes, und auch bei den etwas niedriger eingestuften wichtigen Einrichtungen können bis zu 7 Mio. Euro oder 1,4 Prozent des weltweiten Umsatzes fällig werden. Ein unverbindlicher erster Anruf bei den Cybersecurity-ExpertInnen von HXS und im Bedarfsfall eine fachkundige und NIS2-gerechte Sicherheitsoptimierung der eigenen IT lohnt sich daher angesichts solcher Geldbußen in jedem Fall x-fach – ganz abgesehen davon, dass man ja nicht nur den gesetzlichen Vorgaben gerecht wird, sondern auch erheblich von der eigenen Cybersicherheit auf aktuellstem Niveau profitiert.“
Persönliches IT-Consulting, das Klarheit schafft und jedes IT-Problem löst.
Experten prognostizieren, dass die Corona-Krise dem Home Office zum endgültigen Durchbruch verholfen hat. Allerdings: Die immer flexiblere und mobilere Arbeitswelt lässt auch die Security-Anforderungen an die Unternehmens-IT rapide wachsen. Die erfahre......
Mehr erfahren