Gastkommentar
NIS2 macht Cybersicherheit zur Chefsache
Bis zum 17. Oktober muss die neue Richtlinie zur Netzwerk- und Informationssicherheit, kurz NIS2, in nationales Recht umgesetzt werden. Ein Kommentar von Ewald Wendl, LANCOM Systems.
Ewald Wendl leitet die Vertriebsgeschicke des deutschen Netzwerk- und Security-Herstellers LANCOM Systems in Westösterreich.
Inzwischen zeichnet sich ab: Nur wenige werden das bis zum Stichtag tatsächlich schaffen. Auch hierzulande fand der Entwurf über das „Netz- und Informationssicherheitsgesetz 2024“ (NISG 2024) Anfang Juli nicht die nötige Zweidrittelmehrheit im Parlament. Mit den jüngsten Nationalratswahlen wird sich daran so bald nichts ändern. Auch wenn die Regeln für betroffene Organisationen erst dann gelten, wenn die nationale Gesetzgebung in Kraft tritt, Unternehmen sind gut beraten, sich lieber heute als morgen mit NIS2 zu beschäftigen.
Mithilfe einheitlicher Standards will die EU den europäischen Cyberraum sicherer machen. NIS2 geht dabei deutlich über den Geltungsbereich bisheriger Cyberschutzpflichten hinaus. Noch mehr Branchen gelten künftig als „wesentlich“ oder für Wirtschaft und Gemeinwesen „wichtig“. Schätzungen zufolge sind in Österreich 3.000 bis 5.000 Unternehmen unmittelbar von NIS2 betroffen. Ob sie regulierungspflichtig sind, können Organisationen zum Beispiel über einen Online-Fragebogen (https://ratgeber.wko.at/nis2/) der Wirtschaftskammer Österreich prüfen.
Ist dies der Fall, müssen sie künftig bestimmte Mindeststandards erfüllen. Dazu gehören Konzepte zur Risikoanalyse, Zugriffskontrolle sowie Maßnahmen zur Bewältigung von IT-Sicherheitsvorfällen und zur Aufrechterhaltung und Wiederherstellung des Betriebs einschließlich Meldepflichten. Neu ist vor allem die Sanktionsfähigkeit: Bei Nichteinhaltung können Geschäftsführung und Leitungsorgane persönlich haftbar gemacht werden. Es drohen Bußgelder von bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes für wichtige und 10 Mio. Euro oder 2 % des Gesamtjahresumsatzes für wesentliche Einrichtungen. NIS2 macht Cybersicherheit zur Chefsache. Unternehmen sollten die Zeit bis zum Inkrafttreten des NISG 2024 nutzen, um sich rechtssicher aufzustellen.