EU: Strenge Vorschriften für mehr Schutz vor Cyberangriffen
EU verschärft Vorschriften bei Cybersicherheit für Infrastruktur und wichtige Industriebereiche. Mit weitreichenden Folgen für Unternehmen und deren Zulieferer.
Hackerattacken auf Unternehmen, Behörden oder Privatpersonen sind leider Alltag. Finanzieller Schaden oder das mühsame Wiederherstellen eines Back-ups sind vielfach schon schlimm genug. Doch wirklich problematisch sind Angriffe auf kritische Infrastruktur, wie jüngst bei einigen deutschen Flughäfen.
Cybersicherheit
Um dem vorzubeugen, hat die EU bereits 2016 eigene Vorschriften zur Cybersicherheit für Organisationen und Firmen im Bereich der kritischen Infrastruktur erlassen. Doch eine Überprüfung zeigte Mängel auf. Das Urteil: Die Cyber-Resilienz der in der EU tätigen Unternehmen ist unzureichend, die Widerstandsfähigkeit in den Mitgliedsstaaten ist uneinheitlich, es gibt kein gemeinsames Verständnis über Bedrohungen und keine gemeinsame Krisenreaktion.
Aus diesem Grund hat die EU-Kommission die Regeln verschärft. Seit 16. Januar 2023 ist nun die sogenannten NIS2-Richtlinie in Kraft. Diese muss bis 2024 in den Mitgliedsstaaten umgesetzt werden. Und das wird massive Auswirkungen auf Europas Unternehmen haben.
Aufgrund Ihrer Datenschutzeinstellungen wird an dieser Stelle kein Inhalt von Instagram angezeigt.
Von Strom bis Lebensmittel
Unterschieden wird zwischen zwei Bereichen. Da wären die „wesentlichen Einrichtungen“, aus den Bereichen Energie, Verkehr, Wasserversorgung, Abwasser, Gesundheit, digitale Infrastruktur oder die öffentliche Verwaltung. Diese werden künftig von einer noch zu gründenden Sicherheitsbehörde überwacht.
Daneben gibt es „wichtige Einrichtungen“. Dieser Bereich umfasst deutlich mehr Sektoren. Post- und Kurierdienste fallen ebenso darunter wie die Abfallbewirtschaftung, Chemie, Lebensmittel-Hersteller, Forschungseinrichtungen, Soziale Netzwerke und Hersteller von KFZ, Maschinen, Medizinprodukten oder Datenverarbeitungsgeräten. Diese Firmen unterliegen künftig auch der Aufsicht der Behörden, allerdings mit einem einfacheren und nachträglichen System, schreibt das Innenministerium.
Direkt betroffen sind alle Unternehmen und Organisationen mit mehr als 50 Mitarbeiter. Doch indirekt wirken sich die Verschärfungen auch auf alle Zulieferer aus. Denn Auftraggeber müssen sicherstellen, dass es zu keinen Cyberattacken in der Lieferkette kommt. Damit dürfte ein großer Teil der Unternehmen in Europa von diesen neuen Vorschriften betroffen sein, egal ob klein oder groß. Und auf die leichte Schulter nehmen darf man die neuen Regeln keinesfalls. Es drohen hohe Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.
Standard für alle Firmen
Für den IT-Sicherheitsexperten Markus Gursch von Advenica ist die Verschärfung ein Schritt in die richtige Richtung. „Das Problem ist, dass in manchen Firmen die Einstellung vorherrscht, ‘es passiert eh nichts.’ Aber das stimmt halt nicht. Jeder kann zum Ziel werden.“
Er verstehe das Bedürfnis von Kunden und Mitarbeitern nach möglichst einfacher Bedienung bei Software. Doch: „Je einfacher man seine Dienstleistungen für Nutzer macht, desto mehr Abstriche muss man bei der Sicherheit machen.“ Die NIS2-Richtlinie gebe nun einen Standard vor, wie IT-Sicherheit im Bereich kritische Infrastruktur sein muss. „Daran sollte sich jede Firma orientieren“, sagt Gursch.
Auf kleine Firmen achten
Seitens der Wirtschaftskammer Österreich (WKO) sieht man die neuen Regeln positiv. Kritisiert werden die recht deutlichen Strafbestimmungen, sowie die Ausweitung des Anwendungsbereiches. Dadurch wären Zulieferer großer Unternehmen in hohem Maße betroffen, und zwar unabhängig von ihrer Größe.
Wichtig sei laut WKO jedenfalls, dass bei der nationalen Umsetzung darauf geachtet wird, dass die Vorgaben für die Lieferkette auch von kleinen Unternehmen eingehalten werden können und diese nicht durch überbordenden Vorgaben aus dem Markt gedrängt werden.