Neue gesetzliche Regularien bei Cyber-Security

Neue EU-NIS2-Richtline ab Oktober. Unternehmen im Bereich Kritische Infrastruktur brauchen adäquate Security-Maßnahmen. Erhebung von KSV1870 zeigt große Lücken. Eigenes Rating soll Abhilfe schaffen.

Die fortschreitende Digitalisierung schafft immer mehr Möglichkeiten für die Interaktion zwischen Einzelpersonen, Unternehmen, Abteilungen, Filialen, Lieferanten und Verwaltung und daraus entstehen laufend neue Schnittstellen. All diese Schnittstellen sind gleichbedeutend mit neuen Einfallstoren für Cyber-Kriminalität. Das Risiko von Cyberattacken steigt daher kontinuierlich, doch die notwendigen Gegenmaßnahmen überfordern Unternehmen. Ein gesondertes Augenmerk gilt dabei Betreibern von kritischer Infrastruktur.

Im Kontext mit der bevorstehenden Umsetzung der neuen EU-NIS2-Richtlinie kann das zu fatalen Konsequenzen führen. Das zeigt auch eine aktuelle Erhebung des KSV1870 (Anm. Austrian-Business-Check), wo 64 Prozent der befragten Unternehmen nicht bewusst ist, dass ab 18. Oktober 2024 mehr als 4.000 NIS2-Unternehmen von ihren Lieferanten einen Nachweis über bestehende Cybersecurity-Maßnahmen verlangen werden. Damit diese neuen Anforderungen möglichst kosteneffizient geschafft werden können, unterstützt der KSV1870 mit einem eigenen NIS-konformen CyberRisk Rating.

Große und kleinere Unternehmen sowie Lieferanten gleichermaßen betroffen
Die Notwendigkeit von Maßnahmen belegt auch die polizeiliche Statistik 2023, wo in Österreich rund 66.000 Delikte von Internetkriminalität gezählt wurden. Allein diese Zahl sollte Betrieben Warnung genug sein, ihre betriebliche Cyber-/IT-Sicherheit letztaktuell zu halten. Mit der neuen EU-NIS2-Richtlinie kommt nun ein wesentlicher Faktor hinzu. Österreich muss diese Richtlinie bis 17. Oktober 2024 umgesetzt haben, sie soll für mehr Sicherheit von Netz- und Informationssystemen sorgen, sowie Resilienz und Reaktion auf Sicherheitsvorfälle innerhalb der EU verbessern.

Ab dem 18. Oktober 2024 müssen Unternehmen der „kritischen Infrastruktur“, also etwa aus Energie, Bankwesen, Verkehr, Gesundheit, digitale Infrastruktur oder auch die öffentliche Verwaltung und deren Geschäftspartner konkrete Maßnahmen in Bezug auf Cybersicherheit belegen. Hintergrund ist, dass durch die Geschäftsbeziehung per se und insbesondere durch IT-Schnittstellen und Anbindungen ein potenzielles IT-Sicherheitsrisiko entstehen kann. „Das betrifft nicht nur große, sondern auch kleine Unternehmen wie Cateringfirmen, die als Lieferant via IT-Schnittstellen mit dem Auftraggeber kommunizieren“, erklärt Ricardo-José Vybiral, CEO der KSV1870 Holding AG.

Bewusstsein für NIS2-Richtlinie fehlt
Wie aus der aktuellen Austrian-Business-Check-Umfrage des KSV1870 hervorgeht, stehen 33 Prozent aller in Österreich tätigen Unternehmen in Geschäftsbeziehungen mit Betrieben der „kritischen Infrastruktur“. Davon lukrieren drei von vier Unternehmen Umsätze, die zumindest elf Prozent ihres jährlichen Gesamtumsatzes ausmachen. „Für sie kann die Missachtung der EU-NIS2-Richtlinie existenzentscheidend sein. Besorgniserregend ist zudem, dass bei 64 Prozent aller rund 1.200 Befragten kein Bewusstsein über mögliche negative geschäftliche Folgen besteht“, so der KSV1870 in einer Aussendung.

Aktuell beschäftigen sich lediglich sechs Prozent intensiv mit NIS2. Weitere 41 Prozent wissen zwar ob des akuten Handlungsbedarfs, setzen sich damit aber nur „ein wenig“ auseinander oder ignorieren notwendige rechtliche Erfordernisse zur Gänze. „Bei Missachtung der neuen Richtlinie setzen betroffene Betriebe nicht nur ihre wirtschaftliche Souveränität leichtfertig aufs Spiel, sondern müssen sich die Entscheidungsträger im Ernstfall auch mit verschärften Haftungsfragen und möglichen Geldbußen von bis zu 10 Mio. Euro oder zwei Prozent des weltweiten Jahresumsatzes auseinandersetzen“, so Vybiral.

CyberRisk Report zeigt, dass Großteil der Betriebe eigene Cybersicherheit überschätzt
Wie es um die aktuelle Cybersicherheit der heimischen Unternehmen abseits von NIS2 bestellt ist, hat die KSV1870 Nimbusec GmbH im Rahmen des CyberRisk Report 2024 eruiert. Dabei wird deutlich, dass 87 Prozent der Unternehmen ihre eigene Cybersicherheit überschätzen, was mit einem zusätzlich erhöhten Risikofaktor einhergeht. Sie konnten (einzelne) Fragen zwar mit „Ja“ beantworten, konnten in weiterer Folge aber keinen schlüssigen Nachweis erbringen. Darüber hinaus mussten bis zu 70 Prozent der Antworten rückgefragt werden, da die Erstbeantwortung nicht ausreichend war, so der KSV1870.

„Trotz eines laufend steigenden Cyberrisikos ist das Bewusstsein für ein professionelles Sicherheitsmanagement in Österreich weiterhin besorgniserregend niedrig. Wer jetzt nicht handelt, darf sich später nicht wundern, sein ‚blaues Cyberwunder‘ zu erleben und tief in die Tasche greifen zu müssen, um Systeme wieder zum Laufen zu bringen“, erklärt Alexander Mitter, Geschäftsführer der KSV1870 Nimbusec GmbH.

Cyber-Risk Rating des KSV1870 von Kanzleramt und Innenministerium anerkannt
Um als Unternehmen NIS2-konform zu agieren, unterstützen KSV1870 und KSV1870 Nimbusec mit einem CyberRisk Rating. Das Rating bewertet Cyberrisiken von Dienstleistern, Lieferanten und Dritten. Basis ist ein standardisiertes, mehrstufiges Verfahren, welches auf dem Cyber-Risk-Schema des Kompetenzzentrum Sicheres Österreich (KSÖ) beruht und das ist auch im sogenannten NIS Fact Sheet von Bundeskanzleramt und Innenministerium als „Best Practise“ anerkannt. Das Rating kann von Kleinunternehmen genauso in Anspruch genommen werden, wie von großen Konzernen.

Ein Beispiel ist SAP Österreich, kürzlich mit einem der bisher besten ausgestellten CyberRisk Ratings bewertet. „Mit der digitalen Transformation und der neuen Gesetzgebung ist es für Unternehmen immer wichtiger, ein hohes Sicherheitsniveau zu halten. SAP als einziger europäischer Anbieter von Unternehmenssoftware ist sich der Verantwortung bewusst, denn ein Großteil des betrieblichen Datenverkehrs in Unternehmen läuft über SAP-Systeme“, sagt Christine Wilfinger, Geschäftsführerin. „Unsere Kunden generieren 87 Prozent des weltweiten Handelsvolumens, um die Dimension des verbundenen Sicherheitsaspekts darzustellen“, betont Wilfinger.

„Das CyberRisk Rating des KSV1870 bietet mit dem CyberRisk Manager Österreichs größte Datenbank für IT-Sicherheitsnachweise und ist damit auch ein essenzielles Werkzeug zum Prüfen der Lieferkette. Das Rating selbst wiederum hilft, das eigene erreichte IT-Sicherheitsniveau gegenüber Kunden nachzuweisen“, unterstreicht Ricardo-José Vybiral, CEO der KSV1870 Holding AG.

Links

http://www.ksv.at

Autor: red/czaak

21.05.2024

Weitere aktuelle Artikel

Nur teilweise Weitergabe der Tankrabatte

In Deutschland geben die Ölkonzerne die Tankrabatte bisher nur teilweise weiter. Ifo-Institut entwickelt eigenen Tankrabatt-Tracker für Überprüfung und Analyse. Der seit Anfang Mai geltende Tankrabatt der deutschen Bundesregierung kommt nur teilweise an den Zapfsäulen an. Das zeigen aktuelle Berechnungen des ifo-Instituts, das für genaue Analysen einen sogenannten Tankrabatt-Tracker entwickelt hat. „Beim Diesel haben die Tankstellen […]

Abwanderungstendenzen

Stagnierende Geschäftslagen, weiter hohe Kosten bei Energie, Löhnen oder Material sowie ausgeprägte Konsumflaute prägen aktuelle Wirtschaftssituation. Rund 17 Prozent der Betriebe überlegen Standort oder Geschäftsbereiche ins Ausland zu verlagern. Kritik an Maßnahmen der Bundesregierung bei Industriestrategie. Die aktuelle Geschäftslage der heimischen Unternehmen ist weiterhin überaus schwierig, auch eine Veränderung in Richtung Aufschwung wird nicht erwartet. […]

Materialknappheit in Industrie steigt rasant

Konflikt im Nahen Osten und Einschränkungen im Schiffsverkehr in Straße von Hormus beeinträchtigen zunehmend Lieferketten sowie Versorgung mit Vorprodukten und Endproduktionen. Materialmangel geht quer durch alle Branchen. Die Versorgung mit Vorprodukten in der Industrie hat sich deutlich verschlechtert. Im April berichteten 14 Prozent der Unternehmen in der Industrie von Engpässen bei der Beschaffung von Materialien, […]

Geringere Anzahl und mehr Volumen

In Europa und USA deutlich weniger Börsengänge durch Nahost-Krieg. In China steigen die IPOs. Verteidigungsindustrie, Infrastruktur und KI besonders gefragt. Weltweit größter Börsengang in Amsterdam. Wiener Börse entwickelt sich sehr gut. Nach einem vielversprechenden Start ins Jahr 2026 führen neue geopolitische Spannungen und der weltweite Anstieg der Energiepreise zu einem deutlichen Rückgang auf dem IPO-Markt : Die Zahl […]

Österreich muss weitere 4,4 Milliarden Euro einsparen

Im Kontext mit dem überschuldeten Staatshaushalt orten die Experten des Österreichischen Fiskalrats in aktueller Analyse eine Wirkung der bisherigen Sparmaßnahmen. In Richtung des Defizitzieles 2027 ist noch ein Konsolidierungsvolumen von 4,4 Mrd. Euro nötig. Die bisherigen Konsolidierungsschritte der Österreichischen Bundesregierung zeigen Wirkung : das Budgetdefizit 2025 sinkt auf 4,2 Prozent des Brutto-Inlands-Produktes (BIP). Dieser Wert bleibt damit […]

Neue gesetz­li­che Regu­la­rien bei Cyber-Security

Weitere aktuelle Artikel

Nur teil­weise Wei­ter­gabe der Tankrabatte

Abwan­de­rungs­ten­den­zen

Mate­ri­al­knapp­heit in Indus­trie steigt rasant

Gerin­gere Anzahl und mehr Volumen

Öster­reich muss wei­tere 4,4 Mil­li­ar­den Euro einsparen