Amir Salkic rät österreichischen Unternehmen dringend, die NIS-2-Umsetzung nicht zu verschlafen

Betroffene Unternehmen und Organisationen sollten bereits jetzt handeln und nicht erst auf das nationale NIS-2-Umsetzungsgesetz warten

[datensicherheit.de, 19.03.2025] Seit dem 18. Oktober 2024 ist nun NIS-2 – die verbindliche Cyber-Sicherheits-Richtlinie der EU – in Kraft. Das entsprechende nationale Umsetzungsgesetz wurde in Österreich demnach zwar als Entwurf des „NISG 2024“ (Initiativantrag zum Netz- und Informationssicherheitsgesetz 2024) im Juni 2024 im Nationalrat behandelt, scheiterte aber an der notwendigen Zweidrittelmehrheit und wurde bislang nicht weiterverfolgt. Dennoch sollten die betroffenen Unternehmen und Organisationen bereits jetzt handeln und nicht erst auf die Gesetzgebung warten, betont Amir Salkic, „Head of CyberSecurity Consulting Austria“ der SEC Consult Group, in seiner aktuellen Stellungnahme.

Foto: SEC Consult Group

Amir Salkic zu NIS-2-Folgen: Neu ist, dass die Geschäftsführung bei GmbHs bzw. der Vorstand und Aufsichtsrat bei Aktiengesellschaften nun persönlich haftbar sind!

Verantwortliche sollten so schnell wie möglich überprüfen, ob NIS-2 auch ihre Unternehmens-IT betrifft

„Auch wenn die Gesetzestexte noch nicht rechtskräftig vorliegen, bietet die NIS-2-Richtlinie doch die grundlegenden Vorgaben für Sicherheitsmaßnahmen, die spätestens jetzt in Angriff genommen werden sollten“, erläutert Salkic. Denn die Implementierung der Maßnahmen könne – abhängig vom Reifegrad der Cyber-Sicherheit – viele Monate in Anspruch nehmen.

Da im Vergleich zu NIS-1 nun auch Unternehmen wie digitale Marktplätze oder die Lebensmittelindustrie unter die NIS-2-Richtlinie fielen und die Einführung einer „size-cap“-Regel zusätzlich die Palette der betroffenen Unternehmen erweitere, könnten auch KMU unter diese Regelungen fallen. „Deshalb sollten die Verantwortlichen so schnell wie möglich überprüfen, ob NIS-2 auch ihre Unternehmens-IT betrifft!“

Salkic weist auch auf die neuen, strengeren Haftungsvorschriften hin: „Neu ist, dass die Geschäftsführung bei GmbHs bzw. der Vorstand und Aufsichtsrat bei Aktiengesellschaften nun persönlich haftbar sind!“ Dies könne – je nach Art der Einrichtung – von bis zu sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes bis hin zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes gehen.

Worauf das Management achten sollte – der NIS-2-Maßnahmenkatalog

Grundsätzlich müssten betroffene Unternehmen und Organisationen geeignete Sicherheitsmaßnahmen ergreifen, um die Vertraulichkeit, Verfügbarkeit und Integrität ihrer Netzwerke und IT-Systeme zu gewährleisten.

Salkic führt hierzu aus: „Dazu gehören die Entwicklung von Konzepten für Risikoanalysen und die Sicherheit von Informationssystemen sowie Konzepte und Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen.“

Sollte es zu einem die Cyber-Sicherheit verletzenden Vorfall kommen, so müssten betroffene Organisationen das österreichische Innenministerium unverzüglich über signifikante Störungen, Vorfälle und Bedrohungen – und, wo möglich, auch die Kunden ihrer Dienstleistungen – unterrichten. „Das bedeutet: Es muss binnen 24 Stunden eine Frühwarnung erfolgen, bis spätestens 72 Stunden später eine Detailmeldung und binnen eines Monats ein Abschlussbericht.“

Deutsches NIS-2-Gesetz kann auch für österreichische Unternehmen relevant sein

Die engen wirtschaftlichen Verbindungen Österreichs zum Nachbarn Deutschland bedingen laut Salkic auch, dass viele österreichische Unternehmen dem deutschen NIS-2-Umsetzungsgesetz unterliegen: „Sei es, weil die deutsche Muttergesellschaft interne Richtlinien vorgibt, die auch für österreichische Tochtergesellschaften gelten, oder weil heimische Unternehmen deutsche NIS-2-Einrichtungen beliefern und diese Cyber-Sicherheitsanforderungen vertraglich festlegen.“

Auch in Deutschland habe das NIS-2-Umsetzungsgesetz zwar das Bundeskabinett passiert, sei aber noch nicht dem Bundestag zu Beschlussfassung vorgelegt worden. Dennoch rät Salkic auch hierbei, sich bereits jetzt beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren und sicherzustellen, dass die Mindestvorgaben in Sachen Cyber-Sicherheit umgesetzt werden.

„Dies umfasst wie auch in Österreich organisatorische Auflagen wie etwa die Einführung von Risiko-Management, ,Information Security Management’, den Einsatz von Multi-Faktor-Authentisierung und SSO oder den Einsatz sicherer Sprach-, Video- und Text-Kommunikation. Im Fall eines Sicherheitsvorfalls muss das BSI innerhalb von 24 Stunden informiert werden“, so Salkic zum Abschluss seiner Stellungnahme.

Weitere Informationen zum Thema:

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie