Checklisten-Hologramm auf geöffnetem Laptop

EU-NIS2-Richtlinie: jeder dritte Betrieb betroffen

Geschäftspartner der „kritischen Infrastruktur“ müssen voraussichtlich ab 18. Oktober 2024 einen Nachweis über ihre Cybersecurity-Maßnahmen erbringen. Wenn nicht, droht das Ende von Geschäftsbeziehungen. KSV1870 unterstützt bei Vorbereitung und Nachweis.

Wien, 15.05.2024 – Das Risiko von Cyberattacken steigt kontinuierlich, doch die notwendigen Gegenmaßnahmen überfordern Unternehmen. Angesichts der nun unmittelbar bevorstehenden Umsetzung der EU-NIS2-Richtlinie kann das zu fatalen wirtschaftlichen Konsequenzen führen. 64 Prozent der im Rahmen der Austrian-Business-Check-Umfrage befragten Unternehmen ist nicht bewusst, dass ab 18. Oktober 2024 mehr als 4.000 NIS2-Unternehmen von ihren Lieferanten einen Nachweis über bestehende Cybersecurity-Maßnahmen verlangen werden. Damit diese Herausforderung mit möglichst niedrigen Kosten geschafft werden kann, unterstützt der KSV1870 mit dem NIS-konformen CyberRisk Rating.

Laut polizeilicher Anzeigenstatistik 2023 wurden im vergangenen Jahr in Österreich rund 66.000 Delikte (Tendenz steigend) von Internetkriminalität gezählt. Allein diese Zahl sollte den Unternehmen Warnung genug sein, ihre betriebliche Cyber- und IT-Sicherheit stets auf dem neuesten Stand zu halten. In diesem Jahr kommt jedoch ein weiterer wesentlicher Faktor hinzu – und zwar die EU-NIS2-Richtlinie, die Österreich bis 17. Oktober 2024 umgesetzt haben muss. Diese soll für ein höheres Sicherheitsniveau von Netz- und Informationssystemen sorgen, sowie die Resilienz und die Reaktion auf Sicherheitsvorfälle innerhalb der EU verbessern. Ab dem Tag darauf, dem 18. Oktober 2024, müssen sowohl Unternehmen der „kritischen Infrastruktur“, dazu zählen unter anderem Betriebe aus den Bereichen Energie, Bankwesen, Verkehr, Gesundheitswesen, digitale Infrastruktur oder die öffentliche Verwaltung, als auch deren Geschäftspartner einen Nachweis erbringen, der konkrete Maßnahmen in Bezug auf Cybersicherheit belegt. Hintergrund ist, dass durch die Geschäftsbeziehung per se und ganz besonders durch IT-Schnittstellen und Anbindungen ein potenzielles IT-Sicherheitsrisiko entsteht. „Davon sind aber keineswegs nur die großen Unternehmen betroffen. Das kann auch eine kleine Cateringfirma sein, die im Zuge der Aufträge via IT-Schnittstellen mit dem Auftraggeber kommuniziert“, erklärt Ricardo-José Vybiral, CEO der KSV1870 Holding AG.  

NIS2-Bewusstsein fehlt 

„Bei Missachtung der neuen Richtlinie setzen betroffene Betriebe nicht nur ihre wirtschaftliche Souveränität leichtfertig aufs Spiel, sondern müssen sich die Entscheidungsträger im Ernstfall auch mit verschärften Haftungsfragen und möglichen Geldbußen von bis zu 10 Mio. Euro oder zwei Prozent des weltweiten Jahresumsatzes auseinandersetzen“, so Vybiral.

Wie aus der aktuellen Austrian-Business-Check-Umfrage des KSV1870 hervorgeht, stehen 33 Prozent aller in Österreich tätigen Unternehmen in Geschäftsbeziehungen mit Betrieben der „kritischen Infrastruktur“ – davon lukrieren drei von vier Unternehmen Umsätze, die zumindest elf Prozent ihres jährlichen Gesamtumsatzes ausmachen. Für sie kann die Missachtung der EU-NIS2-Richtlinie existenzentscheidend sein. Mindestens genauso besorgniserregend ist es, dass es bei 64 Prozent aller rund 1.200 Befragten kein Bewusstsein über die Folgen fürs eigene Geschäft besteht. Aktuell beschäftigen sich lediglich sechs Prozent intensiv mit NIS2. Weitere 41 Prozent wissen zwar, dass im eigenen Betrieb akuter Handlungsbedarf besteht, setzen sich damit jedoch maximal „ein wenig“ auseinander oder ignorieren notwendige rechtliche Erfordernisse zur Gänze. 

CyberRisk Report: Großteil überschätzt eigene Cybersicherheit 

Wie es um die aktuelle Cybersicherheit der heimischen Unternehmen abseits von NIS2 bestellt ist, hat die KSV1870 Nimbusec GmbH im Rahmen des CyberRisk Report 2024 eruiert. Dabei wird deutlich, dass 87 Prozent der Unternehmen ihre eigene Cybersicherheit überschätzen, was mit einem zusätzlich erhöhten Risikofaktor einhergeht. Sie konnten (einzelne) Fragen zwar mit „Ja“ beantworten, konnten in weiterer Folge aber keinen schlüssigen Nachweis erbringen. Darüber hinaus mussten bis zu 70 Prozent der Antworten rückgefragt werden, da die Erstbeantwortung nicht ausreichend war. „Trotz eines laufend steigenden Cyberrisikos ist das Bewusstsein für ein professionelles Sicherheitsmanagement in Österreich weiterhin besorgniserregend niedrig. Wer jetzt nicht handelt, darf sich später nicht wundern, sein ‚blaues Cyberwunder‘ zu erleben und tief in die Tasche greifen zu müssen, um Systeme wieder zum Laufen zu bringen“, erklärt Alexander Mitter, Geschäftsführer der KSV1870 Nimbusec GmbH.

CyberRisk Rating by KSV1870 behördlich anerkannt

Um als Unternehmen NIS2-konform zu agieren, unterstützt der KSV1870 mit dem CyberRisk Rating, das von der KSV1870 Nimbusec GmbH umgesetzt wird. Das Rating bewertet Cyberrisiken von Dienstleistern, Lieferanten und Dritten. Dahinter steht ein standardisiertes, mehrstufiges Verfahren. Wer damit die NIS-Anforderungen für Lieferanten erfüllen möchte, benötigt je nach Risikoeinstufung ein B-, A- oder A+-Rating – sie alle basieren auf dem Cyber-Risk-Schema des KSÖ (Kompetenzzentrum Sicheres Österreich), das im NIS Fact Sheet 9/22 des Bundeskanzleramtes und des Bundesministeriums für Inneres als „Best Practise“ anerkannt ist. Ein B-Rating bedeutet, dass ein Basis-Cyber-Schutzniveau vorhanden ist. Beim A-Rating werden alle 25 Anforderungen des KSÖ bewertet – auch jene, die oft mit hohen Kosten verbunden sind. Bei „A+“ erstellt zusätzlich ein Audit-Partner einen Bericht über die bewertete Organisation und erhöht so die Zuverlässigkeit noch weiter. Wie sich im Zuge des CyberRisk Reports 2024 nun gezeigt hat, ist das Erreichen eines solchen Ratings für viele Unternehmen keine Selbstverständlichkeit. Das Rating selbst kann aber von Kleinunternehmen genauso in Anspruch genommen werden, wie von weltweit agierenden Konzernen.

CyberRisk Rating auch für Großunternehmen relevant

Dass ein objektiver Cybersicherheitsnachweis auch für Großunternehmen ein wesentliches Kriterium ist, zeigt SAP Österreich. Das Unternehmen wurde kürzlich mit einem der bisher besten ausgestellten CyberRisk Ratings bewertet. Geschäftsführerin Christina Wilfinger dazu: „Mit der digitalen Transformation und der in Kraft tretenden Gesetzgebung ist es für Unternehmen immer wichtiger, ein hohes Sicherheitsniveau zu halten. SAP als einziger europäischer Anbieter von Unternehmenssoftware ist sich der Verantwortung bewusst, denn ein Großteil des betrieblichen Datenverkehrs in Unternehmen auf der ganzen Welt läuft über SAP-Systeme. So generieren unsere Kunden 87 Prozent des weltweiten Handelsvolumens, um die Dimension des damit verbundenen Sicherheitsaspekts darzustellen. Wir freuen uns daher, dass wir im CyberRisk Rating eine Spitzenposition einnehmen können und Unternehmen helfen, Sicherheitsmaßnahmen zum Schutz ihrer geschäftskritischen Anwendungen zu etablieren. Wir sind hier in einer Vorreiterrolle, mit umfassender Technologie die Innovationskraft europäischer Unternehmen zu stärken und zu schützen.“ Das CyberRisk Rating hilft Großunternehmen auf zwei Arten: Es bietet mit dem CyberRisk Manager Österreichs größte Datenbank für IT-Sicherheitsnachweise und ist damit ein essenzielles Werkzeug zum Prüfen der Lieferkette. Das Rating selbst wiederum hilft, das eigene erreichte IT-Sicherheitsniveau gegenüber Kunden nachzuweisen.

Hier finden Sie den kompletten:

 CyberRisk Report 2024