Neue gesetzliche Regularien bei Cyber-Security
Neue EU-NIS2-Richtline ab Oktober. Unternehmen im Bereich Kritische Infrastruktur brauchen adäquate Security-Maßnahmen. Erhebung von KSV1870 zeigt große Lücken. Eigenes Rating soll Abhilfe schaffen.
(red/czaak) Die fortschreitende Digitalisierung schafft immer mehr Möglichkeiten für die Interaktion zwischen Einzelpersonen, Unternehmen, Abteilungen, Filialen, Lieferanten und Verwaltung und daraus entstehen laufend neue Schnittstellen. All diese Schnittstellen sind gleichbedeutend mit neuen Einfallstoren für Cyber-Kriminalität. Das Risiko von Cyberattacken steigt daher kontinuierlich, doch die notwendigen Gegenmaßnahmen überfordern Unternehmen. Ein gesondertes Augenmerk gilt dabei Betreibern von kritischer Infrastruktur.
Im Kontext mit der bevorstehenden Umsetzung der neuen EU-NIS2-Richtlinie kann das zu fatalen Konsequenzen führen. Das zeigt auch eine aktuelle Erhebung des KSV1870 (Anm. Austrian-Business-Check), wo 64 Prozent der befragten Unternehmen nicht bewusst ist, dass ab 18. Oktober 2024 mehr als 4.000 NIS2-Unternehmen von ihren Lieferanten einen Nachweis über bestehende Cybersecurity-Maßnahmen verlangen werden. Damit diese neuen Anforderungen möglichst kosteneffizient geschafft werden können, unterstützt der KSV1870 mit einem eigenen NIS-konformen CyberRisk Rating.
Große und kleinere Unternehmen sowie Lieferanten gleichermaßen betroffen
Die Notwendigkeit von Maßnahmen belegt auch die polizeiliche Statistik 2023, wo in Österreich rund 66.000 Delikte von Internetkriminalität gezählt wurden. Allein diese Zahl sollte Betrieben Warnung genug sein, ihre betriebliche Cyber-/IT-Sicherheit letztaktuell zu halten. Mit der neuen EU-NIS2-Richtlinie kommt nun ein wesentlicher Faktor hinzu. Österreich muss diese Richtlinie bis 17. Oktober 2024 umgesetzt haben, sie soll für mehr Sicherheit von Netz- und Informationssystemen sorgen, sowie Resilienz und Reaktion auf Sicherheitsvorfälle innerhalb der EU verbessern.
Ab dem 18. Oktober 2024 müssen Unternehmen der „kritischen Infrastruktur“, also etwa aus Energie, Bankwesen, Verkehr, Gesundheit, digitale Infrastruktur oder auch die öffentliche Verwaltung und deren Geschäftspartner konkrete Maßnahmen in Bezug auf Cybersicherheit belegen. Hintergrund ist, dass durch die Geschäftsbeziehung per se und insbesondere durch IT-Schnittstellen und Anbindungen ein potenzielles IT-Sicherheitsrisiko entstehen kann. „Das betrifft nicht nur große, sondern auch kleine Unternehmen wie Cateringfirmen, die als Lieferant via IT-Schnittstellen mit dem Auftraggeber kommunizieren“, erklärt Ricardo-José Vybiral, CEO der KSV1870 Holding AG.
Bewusstsein für NIS2-Richtlinie fehlt
Wie aus der aktuellen Austrian-Business-Check-Umfrage des KSV1870 hervorgeht, stehen 33 Prozent aller in Österreich tätigen Unternehmen in Geschäftsbeziehungen mit Betrieben der „kritischen Infrastruktur“. Davon lukrieren drei von vier Unternehmen Umsätze, die zumindest elf Prozent ihres jährlichen Gesamtumsatzes ausmachen. „Für sie kann die Missachtung der EU-NIS2-Richtlinie existenzentscheidend sein. Besorgniserregend ist zudem, dass bei 64 Prozent aller rund 1.200 Befragten kein Bewusstsein über mögliche negative geschäftliche Folgen besteht“, so der KSV1870 in einer Aussendung.
Aktuell beschäftigen sich lediglich sechs Prozent intensiv mit NIS2. Weitere 41 Prozent wissen zwar ob des akuten Handlungsbedarfs, setzen sich damit aber nur „ein wenig“ auseinander oder ignorieren notwendige rechtliche Erfordernisse zur Gänze. „Bei Missachtung der neuen Richtlinie setzen betroffene Betriebe nicht nur ihre wirtschaftliche Souveränität leichtfertig aufs Spiel, sondern müssen sich die Entscheidungsträger im Ernstfall auch mit verschärften Haftungsfragen und möglichen Geldbußen von bis zu 10 Mio. Euro oder zwei Prozent des weltweiten Jahresumsatzes auseinandersetzen“, so Vybiral.
CyberRisk Report zeigt, dass Großteil der Betriebe eigene Cybersicherheit überschätzt
Wie es um die aktuelle Cybersicherheit der heimischen Unternehmen abseits von NIS2 bestellt ist, hat die KSV1870 Nimbusec GmbH im Rahmen des CyberRisk Report 2024 eruiert. Dabei wird deutlich, dass 87 Prozent der Unternehmen ihre eigene Cybersicherheit überschätzen, was mit einem zusätzlich erhöhten Risikofaktor einhergeht. Sie konnten (einzelne) Fragen zwar mit „Ja“ beantworten, konnten in weiterer Folge aber keinen schlüssigen Nachweis erbringen. Darüber hinaus mussten bis zu 70 Prozent der Antworten rückgefragt werden, da die Erstbeantwortung nicht ausreichend war, so der KSV1870.
„Trotz eines laufend steigenden Cyberrisikos ist das Bewusstsein für ein professionelles Sicherheitsmanagement in Österreich weiterhin besorgniserregend niedrig. Wer jetzt nicht handelt, darf sich später nicht wundern, sein ‚blaues Cyberwunder‘ zu erleben und tief in die Tasche greifen zu müssen, um Systeme wieder zum Laufen zu bringen“, erklärt Alexander Mitter, Geschäftsführer der KSV1870 Nimbusec GmbH.
Cyber-Risk Rating des KSV1870 von Kanzleramt und Innenministerium anerkannt
Um als Unternehmen NIS2-konform zu agieren, unterstützen KSV1870 und KSV1870 Nimbusec mit einem CyberRisk Rating. Das Rating bewertet Cyberrisiken von Dienstleistern, Lieferanten und Dritten. Basis ist ein standardisiertes, mehrstufiges Verfahren, welches auf dem Cyber-Risk-Schema des Kompetenzzentrum Sicheres Österreich (KSÖ) beruht und das ist auch im sogenannten NIS Fact Sheet von Bundeskanzleramt und Innenministerium als „Best Practise“ anerkannt. Das Rating kann von Kleinunternehmen genauso in Anspruch genommen werden, wie von großen Konzernen.
Ein Beispiel ist SAP Österreich, kürzlich mit einem der bisher besten ausgestellten CyberRisk Ratings bewertet. „Mit der digitalen Transformation und der neuen Gesetzgebung ist es für Unternehmen immer wichtiger, ein hohes Sicherheitsniveau zu halten. SAP als einziger europäischer Anbieter von Unternehmenssoftware ist sich der Verantwortung bewusst, denn ein Großteil des betrieblichen Datenverkehrs in Unternehmen läuft über SAP-Systeme“, sagt Christine Wilfinger, Geschäftsführerin. „Unsere Kunden generieren 87 Prozent des weltweiten Handelsvolumens, um die Dimension des verbundenen Sicherheitsaspekts darzustellen“, betont Wilfinger.
„Das CyberRisk Rating des KSV1870 bietet mit dem CyberRisk Manager Österreichs größte Datenbank für IT-Sicherheitsnachweise und ist damit auch ein essenzielles Werkzeug zum Prüfen der Lieferkette. Das Rating selbst wiederum hilft, das eigene erreichte IT-Sicherheitsniveau gegenüber Kunden nachzuweisen“, unterstreicht Ricardo-José Vybiral, CEO der KSV1870 Holding AG.