Interview: Wie Unternehmen die Anforderungen für NIS2 und DORA meistern können

27.06.2024

Bis Oktober 2024 stehen zahlreiche Unternehmen und Behörden vor der Herausforderung, die Anforderungen der EU-Direktive zur Netz- und Informationssicherheit (NIS2) umzusetzen. Wir haben mit Alexander Mitter, Geschäftsführer der KSV1870 Nimbusec GmbH, zum Status quo und zu den Herausforderungen bei der Umsetzung der Richtlinie gesprochen.

Die NIS2-Direktive schreibt umfassende Maßnahmen zur Gewährleistung der Cybersicherheit vor. Einem Großteil ist jedoch nicht bewusst, dass ab diesem Zeitpunkt mehr als 4.000 NIS2-Unternehmen von ihren Lieferanten einen Nachweis über bestehende Cybersecurity-Maßnahmen verlangen werden. Fakt ist, dass das Risiko von Cyberattacken kontinuierlich steigt, doch die notwendigen Gegenmaßnahmen Unternehmen oftmals überfordern.

Wie es um die aktuelle Cybersicherheit der heimischen Unternehmen abseits von NIS2 bestellt ist, hat die KSV1870 Nimbusec GmbH im Rahmen des CyberRisk Report 2024 eruiert. Dabei wird deutlich, dass 87 Prozent der Unternehmen ihre eigene Cybersicherheit überschätzen, was mit einem zusätzlich erhöhten Risikofaktor einhergeht. Mit zwei Produkten hilft KSV1870 Nimbusec Unternehmen dabei, Klarheit über ihre Verwundbarkeit bei Cyber-Attacken zu gewinnen und dafür in Zukunft auf diese vorbereitet zu sein: Dem WebRisk Indicator und CyberRisk Rating by KSV1870.

Wie würden Sie die aktuelle IT-Sicherheitslandschaft beschreiben und welche Herausforderungen sehen Sie für die Unternehmen in Österreich?

In der aktuellen IT-Sicherheitslandschaft gibt es zwei unterschiedliche Welten. Einerseits haben wir etablierte Unternehmen wie Banken, Energieversorger und Großunternehmen, die seit vielen Jahren aktiv in diesem Bereich tätig sind. Und auch auch an Diskussionen über die Umsetzung von NIS2 teilnehmen. Andererseits gibt es jedoch eine breite Mehrheit von Unternehmen – etwa 99 Prozent –, die sich dieser Entwicklungen und bevorstehenden Veränderungen noch nicht bewusst sind, obwohl diese das gesamte Wirtschaftssystem betreffen. Die Herausforderung besteht darin, die gesamte Wirtschaft für die Bedeutung von IT-Sicherheit zu sensibilisieren und Maßnahmen zu ergreifen, um sich vor Cyberbedrohungen zu schützen. Es ist an der Zeit, dass alle Unternehmen, unabhängig von ihrer Größe, sich aktiv mit diesem Thema auseinandersetzen und sich für eine sichere digitale Zukunft einsetzen.

Alexander Mitter, Geschäftsführer der KSV1870 Nimbusec GmbH

Welche Bedeutung hat die Digitalisierung für die österreichische Wirtschaft, und warum ist es wichtig, dass alle Unternehmen, insbesondere die bisher weniger digitalisierten, diesen Wandel mitvollziehen?

Die Digitalisierung ist ein zentrales Thema für den Wohlstand und die Wettbewerbsfähigkeit Österreichs. Um den Wohlstand in Österreich langfristig zu sichern, müssen wir alle Wirtschaftsbereiche in den digitalen Wandel einbeziehen. Gerade jene Unternehmen, die sich bisher weniger mit dem Thema beschäftigt haben, müssen jetzt aktiv werden. Denn sie sind es, die maßgeblich zum Wohlstand unseres Landes beitragen. Wenn wir diese Unternehmen nicht mit ins Boot holen und ihnen die Möglichkeiten der Digitalisierung aufzeigen, laufen wir Gefahr, dass sie abgehängt werden. Die Digitalisierung bietet enorme Chancen: Effizienzsteigerung, neue Geschäftsmodelle, bessere Kundenkommunikation und vieles mehr. Es ist an der Zeit, dass wir diese Chancen nutzen und die gesamte Wirtschaft für die digitale Zukunft fit machen. Nur so können wir sicherstellen, dass Österreich weiterhin erfolgreich bleibt.

Welche Risiken bringt die zunehmende Digitalisierung mit sich, und warum ist IT-Sicherheit besonders bei essenziellen Systemen und kritischen Infrastrukturen so wichtig?

Die zunehmende Vernetzung und Digitalisierung eröffnen zwar viele Möglichkeiten, bergen aber auch Risiken. Cyberangriffe, Datenlecks und andere Sicherheitsbedrohungen können immense Schäden verursachen. Daher ist es von größter Bedeutung, dass Unternehmen und Organisationen ihre IT-Systeme mit robusten Sicherheitsmechanismen ausstatten. Ohne IT-Sicherheit ist die gesamte IT-Infrastruktur gefährdet. Gerade bei essentiellen Systemen und kritischen Infrastrukturen ist ein ausgeklügeltes Sicherheitssystem unerlässlich.

Wen betrifft die NIS2-Richtlinie in Österreich und was müssen diese Unternehmen beachten?

Von den rund 4.000 Unternehmen, die wir in Österreich direkt betroffen sehen, sind etwa 1.000 als wesentlich und 3.000 als wichtig einzustufen. Diese 4.000 Unternehmen stehen vor einer Strafandrohung. Ein interessanter Aspekt dieser Strafandrohung ist, dass sie auch dann gilt, wenn Unternehmen ihre IT-Risiken an Dritte auslagern oder in ihre Lieferkette einbringen. Mit anderen Worten: Die Verantwortung für die IT-Sicherheit bleibt trotz Outsourcing bestehen.

Um dieser Verantwortung gerecht zu werden, werden alle 4.000 Unternehmen ihre Lieferanten genauer unter die Lupe nehmen. Sie werden ihnen Fragebögen zur IT-Sicherheit vorlegen und in Verträgen spezifische Klauseln zur Sicherheit festlegen. Ein wichtiger Schritt ist dabei der Nachweis der IT-Sicherheitsmaßnahmen. Idealerweise sollten diese extern bestätigt werden. In Europa ist die ISO 27001-Zertifizierung der Industriestandard. Interessanterweise gibt es in Österreich, Stand 2022, lediglich 253 oder 254 ISO 27001-Zertifikate – eine geringe Zahl im Vergleich zu den insgesamt 650.000 Unternehmen im Land.

Die Herausforderung besteht darin, dass viele KMU noch nicht ausreichend auf die steigenden Anforderungen vorbereitet sind. Wenn wir die kleinen Unternehmen nicht mitnehmen, riskieren wir, die gesamte Volkswirtschaft zu gefährden. Es liegt an uns, die Lieferanten in diesem Prozess zu unterstützen und gemeinsam für mehr IT-Sicherheit zu sorgen.

Gibt es weitere Richtlinien die zusammen mit der NIS 2 berücksichtigt werden müssen?

DORA, der Digital Operational Resilience Act, ist die zweite Richtlinie die von hoher Relevanz sein wird. Diese Richtlinie wird Mitte 2025 in Kraft treten. Sie verpflichtet uns nicht nur dazu, unsere direkten Lieferanten zu kennen, sondern auch deren Sublieferanten. Warum? Weil DORA darauf abzielt, Cluster-Risiken zu identifizieren. Stellen Sie sich vor, ein großer Cloud-Anbieter wie AWS oder Azure fällt aus – welche unserer 20 Lieferanten sind davon betroffen? Um das herauszufinden, müssen wir unsere Lieferanten befragen und Informationen über ihre eigenen Lieferanten einholen.

Das bedeutet, ich muss wissen, welche meiner Lieferanten ausfallen könnten. Dafür muss ich meine Lieferanten befragen, welchen Anbieter sie nutzen, und wer sind ihre Sublieferanten? Diese Informationen müssen unter DORA auf vertraglicher Ebene bekannt sein. In der Regel wird die Antwort sehr komplex sein, da die tatsächliche Leistung oft von weiteren Sublieferanten erbracht wird. Diese Transparenz muss bis in die letzte Stufe der Lieferketten erreicht werden.

Wo muss denn da das Umdenken stattfinden?

Bei uns allen. Als Einkäufer von Software und Hardware sollten wir darauf bestehen, dass wir umfassende Informationen erhalten. Wir müssen verstehen, welche Technologien wir einsetzen und welche Sicherheitsvorkehrungen getroffen wurden. Nur so können wir die Risiken abschätzen und angemessen darauf reagieren. Aber nicht nur wir als Kunden sind gefragt. Auch die Anbieter von Software und Hardware tragen eine Verantwortung. Sie müssen nicht nur ihre eigenen Prozesse im Blick haben, sondern auch die ihrer Sublieferanten. Denn oft sind es gerade diese unsichtbaren Verbindungen, die zu Schwachstellen führen können.

Die Forderung nach Transparenz und Verantwortung sollte also nicht nur bei uns als Endnutzer liegen, sondern auch bei den Herstellern und Lieferanten. Nur wenn alle Beteiligten an einem Strang ziehen, können wir die Sicherheit unserer digitalen Infrastruktur gewährleisten. Unser Ziel muss es sein, IT-Sicherheit bei allen IT-Nutzern zu verankern. Dies gelingt nur durch Vereinfachung, Standardisierung und Unterstützung.

Gibt es etwas, dass KMU unmittelbar umsetzen können?

Eine große Hilfe für KMU ist die Initiative KMU Digital des Bundesministeriums für Arbeit und Wirtschaft (BMAW) in Kooperation mit der Wirtschaftskammer Österreich (WKÖ). Es fördert kleine Unternehmen im Bereich IT-Sicherheitsberatung. Das bedeutet, dass Unternehmen für nur 100 Euro einen IT-Sicherheitsberater für einen Vormittag buchen können. In ganz Österreich stehen dafür etwa 800 Berater zur Verfügung. Diese Berater werden gemeinsam mit den Unternehmen die 13 Basismaßnahmen durchgehen. Diese Maßnahmen haben wir letzten Sommer zusammen mit dem Bundeskanzleramt und dem BMI entwickelt. Die IT-Sicherheitsgruppe der Wirtschaftskammer hat dazu einige hilfreiche Vorlagen erstellt. Diese Vorlagen sind kostenlos auf der Webseite der Wirtschaftskammer unter dem Stichwort "Basismaßnahmen" verfügbar.

Es ist wichtig, eine Grundlage für IT-Sicherheit zu schaffen, die sich jedes Unternehmen leisten kann. Diese Unterstützung kann kostengünstig in Anspruch genommen werden, sodass Unternehmen zumindest mit Basis-Informationen und Basis-Ratings ausgestattet sind. Ziel ist es, eine Beratung und Zertifizierung auf grundlegender Ebene zu ermöglichen. Zudem bauen wir eine zentrale Datenbank auf, in der alle Unternehmen ihre Sicherheitsnachweise hinterlegen können. Wir haben im KSV 1870 mittlerweile die größte Datenbank für IT-Sicherheitsnachweise aufgebaut, da wir in den letzten vier Jahren bereits für NIS1 tätig waren. Die Prozesse sind etabliert. Der nächste Schritt besteht darin, diese Sicherheitsstandards flächendeckend zu verbreiten. Es ist essenziell, Unternehmen dabei umfassend zu unterstützen.