Zum Inhalt
HOME | 
© Pexels.com/cookiecutter

Neue gesetz­li­che Regu­la­rien bei Cyber-Security

Neue EU-NIS2-Richt­line ab Okto­ber. Unter­neh­men im Bereich Kri­ti­sche Infra­struk­tur brau­chen adäquate Secu­rity-Maß­nah­men. Erhe­bung von KSV1870 zeigt große Lücken. Eige­nes Rating soll Abhilfe schaffen.

Die fort­schrei­tende Digi­ta­li­sie­rung schafft immer mehr Mög­lich­kei­ten für die Inter­ak­tion zwi­schen Ein­zel­per­so­nen, Unter­neh­men, Abtei­lun­gen, Filia­len, Lie­fe­ran­ten und Ver­wal­tung und dar­aus ent­ste­hen lau­fend neue Schnitt­stel­len. All diese Schnitt­stel­len sind gleich­be­deu­tend mit neuen Ein­falls­to­ren für Cyber-Kri­mi­na­li­tät. Das Risiko von Cyber­at­ta­cken steigt daher kon­ti­nu­ier­lich, doch die not­wen­di­gen Gegen­maß­nah­men über­for­dern Unter­neh­men. Ein geson­der­tes Augen­merk gilt dabei Betrei­bern von kri­ti­scher Infrastruktur.

Im Kon­text mit der bevor­ste­hen­den Umset­zung der neuen EU-NIS2-Richt­li­nie kann das zu fata­len Kon­se­quen­zen füh­ren. Das zeigt auch eine aktu­elle Erhe­bung des KSV1870 (Anm. Aus­trian-Busi­ness-Check), wo 64 Pro­zent der befrag­ten Unter­neh­men nicht bewusst ist, dass ab 18. Okto­ber 2024 mehr als 4.000 NIS2-Unter­neh­men von ihren Lie­fe­ran­ten einen Nach­weis über bestehende Cyber­se­cu­rity-Maß­nah­men ver­lan­gen wer­den. Damit diese neuen Anfor­de­run­gen mög­lichst kos­ten­ef­fi­zi­ent geschafft wer­den kön­nen, unter­stützt der KSV1870 mit einem eige­nen NIS-kon­for­men Cyber­Risk Rating.

Große und klei­nere Unter­neh­men sowie Lie­fe­ran­ten glei­cher­ma­ßen betroffen
Die Not­wen­dig­keit von Maß­nah­men belegt auch die poli­zei­li­che Sta­tis­tik 2023, wo in Öster­reich rund 66.000 Delikte von Inter­net­kri­mi­na­li­tät gezählt wur­den. Allein diese Zahl sollte Betrie­ben War­nung genug sein, ihre betrieb­li­che Cyber-/IT-Sicher­heit letz­tak­tu­ell zu hal­ten. Mit der neuen EU-NIS2-Richt­li­nie kommt nun ein wesent­li­cher Fak­tor hinzu. Öster­reich muss diese Richt­li­nie bis 17. Okto­ber 2024 umge­setzt haben, sie soll für mehr Sicher­heit von Netz- und Infor­ma­ti­ons­sys­te­men sor­gen, sowie Resi­li­enz und Reak­tion auf Sicher­heits­vor­fälle inner­halb der EU verbessern. 

Ab dem 18. Okto­ber 2024 müs­sen Unter­neh­men der „kri­ti­schen Infra­struk­tur“, also etwa aus Ener­gie, Bank­we­sen, Ver­kehr, Gesund­heit, digi­tale Infra­struk­tur oder auch die öffent­li­che Ver­wal­tung und deren Geschäfts­part­ner kon­krete Maß­nah­men in Bezug auf Cyber­si­cher­heit bele­gen. Hin­ter­grund ist, dass durch die Geschäfts­be­zie­hung per se und ins­be­son­dere durch IT-Schnitt­stel­len und Anbin­dun­gen ein poten­zi­el­les IT-Sicher­heits­ri­siko ent­ste­hen kann. „Das betrifft nicht nur große, son­dern auch kleine Unter­neh­men wie Cate­ring­fir­men, die als Lie­fe­rant via IT-Schnitt­stel­len mit dem Auf­trag­ge­ber kom­mu­ni­zie­ren“, erklärt Ricardo-José Vybi­ral, CEO der KSV1870 Hol­ding AG. 

Bewusst­sein für NIS2-Richt­li­nie fehlt
Wie aus der aktu­el­len Aus­trian-Busi­ness-Check-Umfrage des KSV1870 her­vor­geht, ste­hen 33 Pro­zent aller in Öster­reich täti­gen Unter­neh­men in Geschäfts­be­zie­hun­gen mit Betrie­ben der „kri­ti­schen Infra­struk­tur“. Davon lukrie­ren drei von vier Unter­neh­men Umsätze, die zumin­dest elf Pro­zent ihres jähr­li­chen Gesamt­um­sat­zes aus­ma­chen. „Für sie kann die Miss­ach­tung der EU-NIS2-Richt­li­nie exis­tenz­ent­schei­dend sein. Besorg­nis­er­re­gend ist zudem, dass bei 64 Pro­zent aller rund 1.200 Befrag­ten kein Bewusst­sein über mög­li­che nega­tive geschäft­li­che Fol­gen besteht“, so der KSV1870 in einer Aussendung. 

Aktu­ell beschäf­ti­gen sich ledig­lich sechs Pro­zent inten­siv mit NIS2. Wei­tere 41 Pro­zent wis­sen zwar ob des aku­ten Hand­lungs­be­darfs, set­zen sich damit aber nur „ein wenig“ aus­ein­an­der oder igno­rie­ren not­wen­dige recht­li­che Erfor­der­nisse zur Gänze. „Bei Miss­ach­tung der neuen Richt­li­nie set­zen betrof­fene Betriebe nicht nur ihre wirt­schaft­li­che Sou­ve­rä­ni­tät leicht­fer­tig aufs Spiel, son­dern müs­sen sich die Ent­schei­dungs­trä­ger im Ernst­fall auch mit ver­schärf­ten Haf­tungs­fra­gen und mög­li­chen Geld­bu­ßen von bis zu 10 Mio. Euro oder zwei Pro­zent des welt­wei­ten Jah­res­um­sat­zes aus­ein­an­der­set­zen“, so Vybiral.

Cyber­Risk Report zeigt, dass Groß­teil der Betriebe eigene Cyber­si­cher­heit überschätzt
Wie es um die aktu­elle Cyber­si­cher­heit der hei­mi­schen Unter­neh­men abseits von NIS2 bestellt ist, hat die KSV1870 Nim­busec GmbH im Rah­men des Cyber­Risk Report 2024 eru­iert. Dabei wird deut­lich, dass 87 Pro­zent der Unter­neh­men ihre eigene Cyber­si­cher­heit über­schät­zen, was mit einem zusätz­lich erhöh­ten Risi­ko­fak­tor ein­her­geht. Sie konn­ten (ein­zelne) Fra­gen zwar mit „Ja“ beant­wor­ten, konn­ten in wei­te­rer Folge aber kei­nen schlüs­si­gen Nach­weis erbrin­gen. Dar­über hin­aus muss­ten bis zu 70 Pro­zent der Ant­wor­ten rück­ge­fragt wer­den, da die Erst­be­ant­wor­tung nicht aus­rei­chend war, so der KSV1870. 

„Trotz eines lau­fend stei­gen­den Cyber­ri­si­kos ist das Bewusst­sein für ein pro­fes­sio­nel­les Sicher­heits­ma­nage­ment in Öster­reich wei­ter­hin besorg­nis­er­re­gend nied­rig. Wer jetzt nicht han­delt, darf sich spä­ter nicht wun­dern, sein ‚blaues Cyber­wun­der‘ zu erle­ben und tief in die Tasche grei­fen zu müs­sen, um Sys­teme wie­der zum Lau­fen zu brin­gen“, erklärt Alex­an­der Mit­ter, Geschäfts­füh­rer der KSV1870 Nim­busec GmbH. 

Cyber-Risk Rating des KSV1870 von Kanz­ler­amt und Innen­mi­nis­te­rium anerkannt
Um als Unter­neh­men NIS2-kon­form zu agie­ren, unter­stüt­zen KSV1870 und KSV1870 Nim­busec mit einem Cyber­Risk Rating. Das Rating bewer­tet Cyber­ri­si­ken von Dienst­leis­tern, Lie­fe­ran­ten und Drit­ten. Basis ist ein stan­dar­di­sier­tes, mehr­stu­fi­ges Ver­fah­ren, wel­ches auf dem Cyber-Risk-Schema des Kom­pe­tenz­zen­trum Siche­res Öster­reich (KSÖ) beruht und das ist auch im soge­nann­ten NIS Fact Sheet von Bun­des­kanz­ler­amt und Innen­mi­nis­te­rium als „Best Prac­tise“ aner­kannt. Das Rating kann von Klein­un­ter­neh­men genauso in Anspruch genom­men wer­den, wie von gro­ßen Konzernen.

Ein Bei­spiel ist SAP Öster­reich, kürz­lich mit einem der bis­her bes­ten aus­ge­stell­ten Cyber­Risk Ratings bewer­tet. „Mit der digi­ta­len Trans­for­ma­tion und der neuen Gesetz­ge­bung ist es für Unter­neh­men immer wich­ti­ger, ein hohes Sicher­heits­ni­veau zu hal­ten. SAP als ein­zi­ger euro­päi­scher Anbie­ter von Unter­neh­mens­soft­ware ist sich der Ver­ant­wor­tung bewusst, denn ein Groß­teil des betrieb­li­chen Daten­ver­kehrs in Unter­neh­men läuft über SAP-Sys­teme“, sagt Chris­tine Wil­fin­ger, Geschäfts­füh­re­rin. „Unsere Kun­den gene­rie­ren 87 Pro­zent des welt­wei­ten Han­dels­vo­lu­mens, um die Dimen­sion des ver­bun­de­nen Sicher­heits­aspekts dar­zu­stel­len“, betont Wilfinger. 

„Das Cyber­Risk Rating des KSV1870 bie­tet mit dem Cyber­Risk Mana­ger Öster­reichs größte Daten­bank für IT-Sicher­heits­nach­weise und ist damit auch ein essen­zi­el­les Werk­zeug zum Prü­fen der Lie­fer­kette. Das Rating selbst wie­derum hilft, das eigene erreichte IT-Sicher­heits­ni­veau gegen­über Kun­den nach­zu­wei­sen“, unter­streicht Ricardo-José Vybi­ral, CEO der KSV1870 Hol­ding AG. 

Autor: red/czaak
21.05.2024

Weitere aktuelle Artikel

Kre­dit­ge­schäft steigt wei­ter kon­ti­nu­ier­lich an. Güns­ti­gere Zin­sen und Bedarf an Betriebs­mit­tel für Inves­ti­tio­nen als Gründe. Unter­neh­men gene­rell opti­mis­ti­scher. Pri­vate Nach­frage zu Wohn­kre­di­ten steigt bereits län­ger. Ban­ken waren und sind verhalten.  Der Früh­ling kommt, und dazu pas­send wächst auch das zarte Pflänz­chen der Kon­junk­tur wei­ter. Das zeigt die aktu­elle Ana­lyse der Öster­rei­chi­schen Natio­nal­bank (OeNB), die regel­mä­ßig […]
Secu­rity und ins­be­son­dere Cyber­se­cu­rity wird für Unter­neh­men immer mehr zum stra­te­gi­schen Erfolgs­fak­tor. Unter­stützt mit KI und Auto­ma­tion gibt es posi­tive Aus­wir­kun­gen auf Kun­den­ver­trauen, Mar­ken­stärke und neue Wert­schöp­fung. Eine inter­na­tio­nale Stu­die zeigt nun auch mess­bare Stei­ge­run­gen beim Wachstum. Cyber­si­cher­heit ent­wi­ckelt sich von der rei­nen Abwehr­maß­nahme zum stra­te­gi­schen Erfolgs­fak­tor. Unter­neh­men, die das Thema früh­zei­tig in Transformations‑, Tech­no­lo­gie- […]
Trotz Andeu­tun­gen einer Kon­junk­tur­be­le­bung herrscht bei hei­mi­schen CEOs immer noch Pes­si­mis­mus. Makro­öko­no­mi­sche Unsi­cher­hei­ten und Cyber­ri­si­ken sowie Kos­ten und gene­relle Infla­tion als aktu­ell größte Bedro­hun­gen, so Stu­die von PwC. Vor­sicht statt Auf­bruchs­stim­mung bei öster­rei­chi­schen CEOs. Diese bli­cken nach den Her­aus­for­de­run­gen der ver­gan­ge­nen Jahre deut­lich pes­si­mis­ti­scher in die Zukunft als ihre inter­na­tio­na­len Kol­le­gen. Nur ein Vier­tel erwar­tet ein Wirt­schafts­wachs­tum. […]
Nvi­dia, Apple und Alpha­bet Ende 2025 als höchst­be­wer­tete Unter­neh­men der Welt. Top 100 stei­gern Bör­sen­wert um 23 Pro­zent auf 54 Bil­lio­nen US-Dol­lar. Acht US-Com­pa­nies unter Top 10. Asia­ti­sche Betriebe mit stärks­tem Wert­zu­wachs. Nur mehr 17 euro­päi­sche Unter­neh­men unter Top 100.  Trotz schwie­ri­ger geo­po­li­ti­scher und wirt­schaft­li­cher Rah­men­be­din­gun­gen haben die größ­ten Unter­neh­men der Welt im Laufe des Jah­res […]
Sechs von zehn Unter­neh­men betrach­ten Fach­kräf­te­man­gel als ers­ten Risi­ko­fak­tor für das eigene Wachs­tum. Größte Rekru­tie­rungs­schwie­rig­kei­ten hat Indus­trie. Künst­li­che Intel­li­genz kann immer öfter Abhilfe schaffen. Der hei­mi­sche Mit­tel­stand steht auch in wirt­schaft­lich her­aus­for­dern­den Zei­ten mehr­heit­lich für Resi­li­enz und Inno­va­tion und mit Unter­stüt­zung digi­ta­ler Dienste dann für neue Wert­schöp­fung. Trotz­dem gibt es auch hier Fak­to­ren, die Wachs­tum […]
magnifier
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram