Zum Inhalt
HOME | 
© Pexels.com/cookiecutter

Neue gesetz­li­che Regu­la­rien bei Cyber-Security

Neue EU-NIS2-Richt­line ab Okto­ber. Unter­neh­men im Bereich Kri­ti­sche Infra­struk­tur brau­chen adäquate Secu­rity-Maß­nah­men. Erhe­bung von KSV1870 zeigt große Lücken. Eige­nes Rating soll Abhilfe schaffen.

Die fort­schrei­tende Digi­ta­li­sie­rung schafft immer mehr Mög­lich­kei­ten für die Inter­ak­tion zwi­schen Ein­zel­per­so­nen, Unter­neh­men, Abtei­lun­gen, Filia­len, Lie­fe­ran­ten und Ver­wal­tung und dar­aus ent­ste­hen lau­fend neue Schnitt­stel­len. All diese Schnitt­stel­len sind gleich­be­deu­tend mit neuen Ein­falls­to­ren für Cyber-Kri­mi­na­li­tät. Das Risiko von Cyber­at­ta­cken steigt daher kon­ti­nu­ier­lich, doch die not­wen­di­gen Gegen­maß­nah­men über­for­dern Unter­neh­men. Ein geson­der­tes Augen­merk gilt dabei Betrei­bern von kri­ti­scher Infrastruktur.

Im Kon­text mit der bevor­ste­hen­den Umset­zung der neuen EU-NIS2-Richt­li­nie kann das zu fata­len Kon­se­quen­zen füh­ren. Das zeigt auch eine aktu­elle Erhe­bung des KSV1870 (Anm. Aus­trian-Busi­ness-Check), wo 64 Pro­zent der befrag­ten Unter­neh­men nicht bewusst ist, dass ab 18. Okto­ber 2024 mehr als 4.000 NIS2-Unter­neh­men von ihren Lie­fe­ran­ten einen Nach­weis über bestehende Cyber­se­cu­rity-Maß­nah­men ver­lan­gen wer­den. Damit diese neuen Anfor­de­run­gen mög­lichst kos­ten­ef­fi­zi­ent geschafft wer­den kön­nen, unter­stützt der KSV1870 mit einem eige­nen NIS-kon­for­men Cyber­Risk Rating.

Große und klei­nere Unter­neh­men sowie Lie­fe­ran­ten glei­cher­ma­ßen betroffen
Die Not­wen­dig­keit von Maß­nah­men belegt auch die poli­zei­li­che Sta­tis­tik 2023, wo in Öster­reich rund 66.000 Delikte von Inter­net­kri­mi­na­li­tät gezählt wur­den. Allein diese Zahl sollte Betrie­ben War­nung genug sein, ihre betrieb­li­che Cyber-/IT-Sicher­heit letz­tak­tu­ell zu hal­ten. Mit der neuen EU-NIS2-Richt­li­nie kommt nun ein wesent­li­cher Fak­tor hinzu. Öster­reich muss diese Richt­li­nie bis 17. Okto­ber 2024 umge­setzt haben, sie soll für mehr Sicher­heit von Netz- und Infor­ma­ti­ons­sys­te­men sor­gen, sowie Resi­li­enz und Reak­tion auf Sicher­heits­vor­fälle inner­halb der EU verbessern. 

Ab dem 18. Okto­ber 2024 müs­sen Unter­neh­men der „kri­ti­schen Infra­struk­tur“, also etwa aus Ener­gie, Bank­we­sen, Ver­kehr, Gesund­heit, digi­tale Infra­struk­tur oder auch die öffent­li­che Ver­wal­tung und deren Geschäfts­part­ner kon­krete Maß­nah­men in Bezug auf Cyber­si­cher­heit bele­gen. Hin­ter­grund ist, dass durch die Geschäfts­be­zie­hung per se und ins­be­son­dere durch IT-Schnitt­stel­len und Anbin­dun­gen ein poten­zi­el­les IT-Sicher­heits­ri­siko ent­ste­hen kann. „Das betrifft nicht nur große, son­dern auch kleine Unter­neh­men wie Cate­ring­fir­men, die als Lie­fe­rant via IT-Schnitt­stel­len mit dem Auf­trag­ge­ber kom­mu­ni­zie­ren“, erklärt Ricardo-José Vybi­ral, CEO der KSV1870 Hol­ding AG. 

Bewusst­sein für NIS2-Richt­li­nie fehlt
Wie aus der aktu­el­len Aus­trian-Busi­ness-Check-Umfrage des KSV1870 her­vor­geht, ste­hen 33 Pro­zent aller in Öster­reich täti­gen Unter­neh­men in Geschäfts­be­zie­hun­gen mit Betrie­ben der „kri­ti­schen Infra­struk­tur“. Davon lukrie­ren drei von vier Unter­neh­men Umsätze, die zumin­dest elf Pro­zent ihres jähr­li­chen Gesamt­um­sat­zes aus­ma­chen. „Für sie kann die Miss­ach­tung der EU-NIS2-Richt­li­nie exis­tenz­ent­schei­dend sein. Besorg­nis­er­re­gend ist zudem, dass bei 64 Pro­zent aller rund 1.200 Befrag­ten kein Bewusst­sein über mög­li­che nega­tive geschäft­li­che Fol­gen besteht“, so der KSV1870 in einer Aussendung. 

Aktu­ell beschäf­ti­gen sich ledig­lich sechs Pro­zent inten­siv mit NIS2. Wei­tere 41 Pro­zent wis­sen zwar ob des aku­ten Hand­lungs­be­darfs, set­zen sich damit aber nur „ein wenig“ aus­ein­an­der oder igno­rie­ren not­wen­dige recht­li­che Erfor­der­nisse zur Gänze. „Bei Miss­ach­tung der neuen Richt­li­nie set­zen betrof­fene Betriebe nicht nur ihre wirt­schaft­li­che Sou­ve­rä­ni­tät leicht­fer­tig aufs Spiel, son­dern müs­sen sich die Ent­schei­dungs­trä­ger im Ernst­fall auch mit ver­schärf­ten Haf­tungs­fra­gen und mög­li­chen Geld­bu­ßen von bis zu 10 Mio. Euro oder zwei Pro­zent des welt­wei­ten Jah­res­um­sat­zes aus­ein­an­der­set­zen“, so Vybiral.

Cyber­Risk Report zeigt, dass Groß­teil der Betriebe eigene Cyber­si­cher­heit überschätzt
Wie es um die aktu­elle Cyber­si­cher­heit der hei­mi­schen Unter­neh­men abseits von NIS2 bestellt ist, hat die KSV1870 Nim­busec GmbH im Rah­men des Cyber­Risk Report 2024 eru­iert. Dabei wird deut­lich, dass 87 Pro­zent der Unter­neh­men ihre eigene Cyber­si­cher­heit über­schät­zen, was mit einem zusätz­lich erhöh­ten Risi­ko­fak­tor ein­her­geht. Sie konn­ten (ein­zelne) Fra­gen zwar mit „Ja“ beant­wor­ten, konn­ten in wei­te­rer Folge aber kei­nen schlüs­si­gen Nach­weis erbrin­gen. Dar­über hin­aus muss­ten bis zu 70 Pro­zent der Ant­wor­ten rück­ge­fragt wer­den, da die Erst­be­ant­wor­tung nicht aus­rei­chend war, so der KSV1870. 

„Trotz eines lau­fend stei­gen­den Cyber­ri­si­kos ist das Bewusst­sein für ein pro­fes­sio­nel­les Sicher­heits­ma­nage­ment in Öster­reich wei­ter­hin besorg­nis­er­re­gend nied­rig. Wer jetzt nicht han­delt, darf sich spä­ter nicht wun­dern, sein ‚blaues Cyber­wun­der‘ zu erle­ben und tief in die Tasche grei­fen zu müs­sen, um Sys­teme wie­der zum Lau­fen zu brin­gen“, erklärt Alex­an­der Mit­ter, Geschäfts­füh­rer der KSV1870 Nim­busec GmbH. 

Cyber-Risk Rating des KSV1870 von Kanz­ler­amt und Innen­mi­nis­te­rium anerkannt
Um als Unter­neh­men NIS2-kon­form zu agie­ren, unter­stüt­zen KSV1870 und KSV1870 Nim­busec mit einem Cyber­Risk Rating. Das Rating bewer­tet Cyber­ri­si­ken von Dienst­leis­tern, Lie­fe­ran­ten und Drit­ten. Basis ist ein stan­dar­di­sier­tes, mehr­stu­fi­ges Ver­fah­ren, wel­ches auf dem Cyber-Risk-Schema des Kom­pe­tenz­zen­trum Siche­res Öster­reich (KSÖ) beruht und das ist auch im soge­nann­ten NIS Fact Sheet von Bun­des­kanz­ler­amt und Innen­mi­nis­te­rium als „Best Prac­tise“ aner­kannt. Das Rating kann von Klein­un­ter­neh­men genauso in Anspruch genom­men wer­den, wie von gro­ßen Konzernen.

Ein Bei­spiel ist SAP Öster­reich, kürz­lich mit einem der bis­her bes­ten aus­ge­stell­ten Cyber­Risk Ratings bewer­tet. „Mit der digi­ta­len Trans­for­ma­tion und der neuen Gesetz­ge­bung ist es für Unter­neh­men immer wich­ti­ger, ein hohes Sicher­heits­ni­veau zu hal­ten. SAP als ein­zi­ger euro­päi­scher Anbie­ter von Unter­neh­mens­soft­ware ist sich der Ver­ant­wor­tung bewusst, denn ein Groß­teil des betrieb­li­chen Daten­ver­kehrs in Unter­neh­men läuft über SAP-Sys­teme“, sagt Chris­tine Wil­fin­ger, Geschäfts­füh­re­rin. „Unsere Kun­den gene­rie­ren 87 Pro­zent des welt­wei­ten Han­dels­vo­lu­mens, um die Dimen­sion des ver­bun­de­nen Sicher­heits­aspekts dar­zu­stel­len“, betont Wilfinger. 

„Das Cyber­Risk Rating des KSV1870 bie­tet mit dem Cyber­Risk Mana­ger Öster­reichs größte Daten­bank für IT-Sicher­heits­nach­weise und ist damit auch ein essen­zi­el­les Werk­zeug zum Prü­fen der Lie­fer­kette. Das Rating selbst wie­derum hilft, das eigene erreichte IT-Sicher­heits­ni­veau gegen­über Kun­den nach­zu­wei­sen“, unter­streicht Ricardo-José Vybi­ral, CEO der KSV1870 Hol­ding AG. 

Autor: red/czaak
21.05.2024

Weitere aktuelle Artikel

Fis­kal­rat erwar­tet heu­ri­ges Bud­get­de­fi­zit bei 4,4 Pro­zent des BIP. Feh­lende Steu­er­ein­nah­men durch Wirt­schafts­krise sowie hohe Kos­ten für Gehäl­ter, Pen­sio­nen und Gesund­heit belas­ten Konsolidierung. Der Öster­rei­chi­sche Fis­kal­rat erwar­tet für 2025 und 2026 gesamt­staat­li­che Bud­get­de­fi­zite von 4,4 bzw. 4,2 Pro­zent des Brut­to­in­lands­pro­dukts (BIP). Damit bestä­ti­gen sich die Ein­schät­zun­gen des Fis­kal­rats vom Juni 2025 und auch die des […]
Aktu­ell schät­zen deut­sche Betriebe im Ein­zel­han­del die Geschäfts­lage nur gering­fü­gig posi­ti­ver ein. Gesamt­si­tua­tion und Aus­blick 2026 bleibt her­aus­for­dernd. Fast 50 Pro­zent ver­zeich­nen gerin­gere Kundenfrequenz. Der von den Wirt­schafts­for­schern des Münch­ner ifo Insti­tuts regel­mä­ßig erho­bene Geschäfts­klima-Index hat sich im Ein­zel­han­del nun leicht ver­bes­sert. Die Unter­neh­men beur­tei­len ihre aktu­elle Lage etwas posi­ti­ver, blei­ben jedoch für die Zukunft […]
Nach län­ge­rem Abwärts­trend fra­gen Unter­neh­men wie Pri­vate wie­der mehr Kre­dite nach. Erhe­bun­gen der OeNB deu­ten auf nach­hal­tige Bele­bung von Kre­dit­ge­schäft und Bau­wirt­schaft hin. Gene­rell auch wie­der höhere Geschäfts­tä­tig­keit der Unternehmen. Die Öster­rei­chi­schen Natio­nal­bank (OeNB) ana­ly­siert im vier­tel­jähr­li­chen Rhyth­mus das Kre­dit­ge­schäft unter den füh­ren­den hei­mi­schen Ban­ken und diese mel­den nun für das aktu­elle dritte Quar­tal eine […]
Öster­rei­chi­sche Elek­tri­zi­täts­ab­gabe 30-mal höher als von EU emp­foh­lene Min­dest­be­steue­rung von Strom bei betrieb­li­cher Nut­zung. Ener­gie­preise für Sta­tis­tik Aus­tria zen­tra­ler Fak­tor für hohe Infla­tion und Teuerungen. Die enorm hohe und ent­spre­chend teure Elek­tri­zi­täts­ab­gabe kos­tet Öster­rei­chi­schen Fir­men und den pri­va­ten Haus­hal­ten Mil­lio­nen Euro und final ist diese auch einer der Haupt­gründe für die ange­spannte wirt­schaft­li­che Situa­tion. Im Rah­men ihrer lau­fen­den […]
Beim Entre­pre­neur of the Year wer­den Öster­reichs Top-Unter­neh­mer prä­miert. Heuer sie­gen in ein­zel­nen Kate­go­rien Klaus Läs­ser, Andreas Fill, Lukas Püs­pok, Tho­mas Wel­ser, Hin­nert Han­sen sowie Flo­rian Wim­mer und Gerd Karlhuber. Die Prü­fungs- und Bera­tungs­or­ga­ni­sa­tion EY ver­gab zum mitt­ler­weile 20. Mal den EY Entre­pre­neur Of The YearTM Award. Bei die­sem auch inter­na­tio­nal renom­mier­ten Bewerb wer­den in 60 […]
magnifier
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram