Nach Cyber­si­cher­heits­vor­ga­ben im Rah­men der neuen NIS-2-Richt­li­nie nun auch Start des neuen Resi­li­enz-Geset­zes für kri­ti­sche Ein­rich­tun­gen. Regu­la­rien betref­fen elf zen­trale Sek­to­ren. Fokus auf Absi­che­rung gegen phy­si­sche Bedro­hun­gen und Betriebs­kon­ti­nui­tät in Krisenfällen.

Schon die geo­po­li­ti­schen Kriegs­er­eig­nisse rund um die Ukraine schär­fen das Bewusst­sein für die Absi­che­rung von kri­ti­scher Infra­struk­tur und ihre ver­ant­wort­li­chen Betrei­ber. Jetzt unter­streicht der Krieg im Nahen Osten die The­ma­tik noch mehr. Strom, Trink­was­ser, Kran­ken­häu­ser, Zah­lungs­ver­kehr oder digi­tale Netze – viele die­ser sys­tem­kri­ti­schen Leis­tun­gen wer­den den Men­schen erst dann bewusst, wenn sie ausfallen. 

Umfas­sende Risi­ko­ana­lyse des Innenministeriums

Mit dem neuen (und soge­nann­ten) Resi­li­enz kri­ti­scher Ein­rich­tun­gen-Gesetz (RKEG) schafft Öster­reich nun einen kla­ren gesetz­li­chen Rah­men, um genau sol­che Aus­fälle zu ver­hin­dern oder ihre Aus­wir­kun­gen deut­lich zu redu­zie­ren. Das bereits gül­tige Gesetz (Anm. seit 1.März) setzt die ent­spre­chende EU-Richt­li­nie in natio­na­les Recht um. Betrof­fen sind elf zen­trale Sek­to­ren : Ener­gie, Gesund­heit, Ernäh­rung, Ban­ken, Finanz­märkte, Trans­port, Raum­fahrt, Trink­was­ser, Abwas­ser, digi­tale Infra­struk­tur und die Ver­wal­tung. Ziel ist sicher­zu­stel­len, dass diese Dienste auch in Kri­sen­si­tua­tio­nen wei­ter funktionieren.

Die natio­nale Stra­te­gie in Öster­reich defi­niert einen kla­ren Rah­men, der auf einer umfas­sen­den Risi­ko­ana­lyse des Innen­mi­nis­te­ri­ums basiert und regel­mä­ßig über­prüft wird. Die­ses Fun­da­ment dient als ein­heit­li­che Grund­lage für Öster­reichs stra­te­gi­sche Resi­li­en­z­pla­nung, bie­tet kri­ti­schen Ein­rich­tun­gen Ori­en­tie­rung für ihre eige­nen Risi­ko­ana­ly­sen (§ 14) und bil­det die Basis für sek­tor­über­grei­fende Maßnahmen. 

Unter­schied zu NIS‑2 Regeln und Straf­hö­hen bis 500.000 Euro

Dazu gehört etwa auch die Betrach­tung von Ver­sor­gungs­ket­ten oder wech­sel­sei­ti­gen Abhän­gig­kei­ten. Natur­ge­fah­ren sind ebenso berück­sich­tigt wie tech­ni­sche Stö­run­gen, absicht­li­che Angriffe oder inter­na­tio­nale Abhän­gig­kei­ten. Bei Ver­stö­ßen gegen das RKEG dro­hen Geld­stra­fen von bis zu 50.000 Euro bei grund­le­gen­den Ver­stö­ßen, bis zu 100.000 Euro bei Wie­der­ho­lung und bis zu 500.000 Euro in schwer­wie­gen­den Fäl­len. 

In der öffent­li­chen Dis­kus­sion steht der­zeit vor allem die Umset­zung der NIS2-Richt­li­nie im Fokus. NIS2 regelt euro­pa­weit die Cyber­si­cher­heit von Unter­neh­men und öffent­li­chen Ein­rich­tun­gen und ver­pflich­tet diese zu hohen IT-Sicher­heits­stan­dards, kla­ren Mel­de­pflich­ten und Gover­nance-Vor­ga­ben. Das Risi­ko­ver­ständ­nis des RKEG geht dar­über jedoch deut­lich hin­aus. Wäh­rend NIS2 pri­mär auf digi­tale Risi­ken abzielt, betrach­tet das Resi­li­en­z­ge­setz die Gesamt­si­cher­heit kri­ti­scher Einrichtungen. 

Enge Zusam­men­ar­beit zwi­schen RKE-Behörde und Bun­des­amt für Cybersicherheit

Es umfasst neben Cyber­be­dro­hun­gen auch phy­si­sche Sicher­heit, bau­li­che Schutz­maß­nah­men, orga­ni­sa­to­ri­sche Vor­sorge, Kri­sen­ma­nage­ment und vor allem auch die Wie­der­her­stel­lungs­fä­hig­keit. Auch die ent­spre­chende Exper­tise des Per­so­nals der Ein­rich­tun­gen und deren Sen­si­bi­li­sie­rung und Schu­lung wird the­ma­ti­siert. Damit adres­siert das Gesetz etwa auch Risi­ken durch Natur­ka­ta­stro­phen, Sabo­tage, Ver­sor­gungs­eng­pässe oder per­so­nelle Schwachstellen.

In der Pra­xis müs­sen nun viele Unter­neh­men, die bereits unter NIS‑2 fal­len, künf­tig zusätz­lich die Anfor­de­run­gen aus dem RKEG erfül­len. Die natio­nale Stra­te­gie sieht des­halb eine enge Zusam­men­ar­beit zwi­schen der RKE-Behörde im Innen­mi­nis­te­rium und dem Bun­des­amt für Cyber­si­cher­heit vor. Ziel ist die Ver­mei­dung von Dop­pel­struk­tu­ren und Mel­de­pro­zesse so zu gestal­ten, dass Unter­neh­men Vor­fälle koor­di­niert an beide Stel­len mel­den kön­nen. Damit soll Büro­kra­tie redu­ziert und die Reak­ti­ons­ge­schwin­dig­keit erhöht werden.

Innen­mi­nis­te­rium ent­schei­det per Bescheid

„Unter­neh­men soll­ten RKEG und NIS2 nicht getrennt betrach­ten“, sagt Gott­fried Ton­we­ber, Lei­ter Cyber­se­cu­rity und Part­ner bei EY Öster­reich. „Beide Regel­be­rei­che grei­fen inein­an­der. Wer Sicher­heits­or­ga­ni­sa­tion, Risi­ko­ma­nage­ment und Mel­de­pro­zesse inte­griert auf­setzt, schafft nicht nur Com­pli­ance, son­dern echte Sta­bi­li­tät“, betont EY-Experte Tonweber.

Ob ein Unter­neh­men nun final als „kri­ti­sche Ein­rich­tung“ ein­ge­stuft wird, ent­schei­det das Innen­mi­nis­te­rium per Bescheid. Maß­geb­lich ist unter ande­rem, ob ein Aus­fall erheb­li­che Aus­wir­kun­gen auf die Ver­sor­gung oder auf andere wesent­li­che Dienste hätte. Betrof­fen sind Orga­ni­sa­tio­nen, die zumin­dest einen wesent­li­chen Dienst erbrin­gen, und die im Inland tätig sind und ihre Leis­tun­gen im Inland erbringen.

Ein­stu­fun­gen bedeu­ten klare Verpflichtungen

Mit der Ein­stu­fung gehen dann klare Ver­pflich­tun­gen ein­her. Unter­neh­men müs­sen sys­te­ma­tisch ana­ly­sie­ren, wel­chen Risi­ken sie aus­ge­setzt sind, und auf die­ser Basis Resi­li­en­z­pläne ent­wi­ckeln. Diese Pläne sol­len gewähr­leis­ten, dass im Ernst­fall rasch reagiert und der Betrieb mög­lichst schnell wie­der­her­ge­stellt wer­den kann. Sicher­heits­vor­fälle, die die Erbrin­gung eines wesent­li­chen Diens­tes erheb­lich stö­ren oder stö­ren könn­ten, sind unver­züg­lich zu mel­den, spä­tes­tens inner­halb von 24 Stunden. 

Eine Fol­ge­mel­dung muss spä­tes­tens einen Monat nach Erst­mel­dung erfol­gen. Für die erst­ma­lige Risi­ko­ana­lyse blei­ben nach Ein­stu­fung neun Monate Zeit, für die Umset­zung eines Resi­li­en­z­plans und ent­spre­chen­der Maß­nah­men zehn Monate. Die Risi­ko­ana­lyse ist anschlie­ßend regel­mä­ßig, min­des­tens alle vier Jahre, zu aktua­li­sie­ren. „Die Zei­ten, in denen Sicher­heit als reine IT-Frage behan­delt wurde, sind vor­bei“, ergänzt Bir­git Egl­seer, Senior Mana­ge­rin bei EY Öster­reich. „Resi­li­enz ist eine Füh­rungs­auf­gabe. Sie betrifft Stra­te­gie, Orga­ni­sa­tion, Per­so­nal und Lie­fer­ket­ten glei­cher­ma­ßen“, betont Eglseer.

Nach­hal­tige Resi­li­enz als Ant­wort auf eine ver­än­derte Risikolage

Hin­ter dem Gesetz steht die Erkennt­nis, dass kri­ti­sche Infra­struk­tur heute stär­ker ver­netzt und kom­ple­xer ist als je zuvor. Ener­gie­ver­sor­gung, digi­tale Netze, Finanz­sys­teme und Gesund­heits­we­sen sind eng mit­ein­an­der ver­bun­den. Ein Aus­fall in einem die­ser Berei­che kann daher rasch weit­rei­chende Fol­gen haben. Die natio­nale Stra­te­gie setzt daher auf einen risi­ko­ba­sier­ten Ansatz, der kon­ti­nu­ier­lich über­prüft und wei­ter­ent­wi­ckelt wird. Spä­tes­tens alle vier Jahre erfolgt eine Eva­lu­ie­rung, bei Bedarf auch frü­her, wenn sich die Risi­ko­lage wesent­lich ändert.

Für Unter­neh­men bedeu­tet das einen struk­tu­rel­len Wan­del. Resi­li­enz wird nicht mehr als punk­tu­elle Maß­nahme ver­stan­den, son­dern als dau­er­hafte Manage­ment­auf­gabe. Gleich­zei­tig eröff­net das Gesetz die Chance, Sicher­heits- und Kri­sen­struk­tu­ren neu zu den­ken und bestehende NIS2-Pro­gramme sinn­voll zu erwei­tern. „Resi­li­enz schafft Ver­trauen bei Kund:innen, Partner:innen und Investor:innen. In einer zuneh­mend unsi­che­ren Welt wird genau das zu einem ent­schei­den­den Wett­be­werbs­fak­tor“, resü­miert Gott­fried Ton­we­ber. „Wer seine Abhän­gig­kei­ten kennt und klare Kri­sen­struk­tu­ren eta­bliert, stärkt auch die eigene Orga­ni­sa­tion“, ergänzt Bir­git Egl­seer, Senior Mana­ge­rin bei EY Öster­reich. (red/​czaak)