NIS2 Cyber Fit?

Was bedeutet das?

Die Erweiterung der Cybersicherheitsrichtlinie NIS2 soll die Widerstandsfähigkeit und Reaktionsfähigkeit auf Sicherheitsvorfälle in der EU sowohl im öffentlichen als auch im privaten Sektor stärken. Durch die Anpassung wird der Geltungsbereich auf einen größeren Teil der Wirtschaft ausgedehnt, um Sektoren und Dienste von grundlegender Bedeutung für den Binnenmarkt vollständig abzudecken. Die betroffenen Einrichtungen sind nun verpflichtet, angemessene Risikomanagementmaßnahmen für ihre Netz- und Informationssysteme zu treffen.

Sind auch Kleinunternehmen betroffen?

Kleine Unternehmen, d.h. Unternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz oder einer Jahresbilanzsumme von höchstens 10 Mio. Euro, fallen nicht unter NIS2. Es gibt jedoch Ausnahmen, hier können Sie sich über Ihren eigenen Status informieren: https://ratgeber.wko.at/nis2/

Was passiert mit Unternehmen, die sich nicht an die Richtlinie halten?

Wenn Unternehmen die Anforderungen der NIS2 nicht erfüllen, können verschiedene Durchsetzungsmaßnahmen ergriffen werden. Dazu gehören verbindliche Anordnungen, die Empfehlung eines Sicherheitsaudits und Verwaltungsstrafen von bis zu 10 Millionen Euro oder zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr.

Darüber hinaus müssen auch Dienstleister und Lieferanten der betroffenen Unternehmen die Sicherheitsmaßnahmen einhalten!

Anforderungen

Die Richtlinie besteht aus vierzehn Punkten, die von den betroffenen Unternehmen und Sektoren erfüllt werden müssen:

Policies: Richtlinien für Risiken und Informationssicherheit
Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents
Business Continuity: BCM mit Backup Management, Desaster Recovery, Krisen Management
Supply Chain: Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern
Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
Effektivität: Vorgaben zur Messung von Cyber und Risiko Maßnahmen
Training und Cyber Security Hygiene
Kryptographie: Vorgaben für Kryptographie und wo möglich Verschlüsselung
Personal: Human Resources Security
Zugangskontrolle
Asset Management
Authentication: Einsatz von Multi-Faktor-Authentifizierung (MFA) und Single-Sign-On (SSO)
Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation
Notfall-Kommunikation: Einsatz gesicherter Notfall-Kommunikations-Systeme

Die Zeit bis Oktober 2024 ist kurz und die verfügbaren Ressourcen zur Umsetzung von Sicherheitsmaßnahmen sind bereits knapp. Daher gilt es, so schnell als möglich aktiv zu werden. Mit dem Aufbau eines ISO 27001 oder BSI Grundschutz konformen Informationssicherheitsmanagementsystems ist man erstmal auf der sicheren Seite, der Aufwand dafür ist aber in jeder Hinsicht sehr groß.

In Österreich bietet sich alternativ folgender Ansatz an:

Analyse des aktuellen Sicherheitsniveaus

Anhand eines standardisierten Prüfkataloges wird die Sicherheit der digitalen Infrastruktur in Ihrem Unternehmen überprüft. Sie erhalten einen Überblick über die wichtigsten Maßnahmen zur Förderung der IT- und Cybersicherheit in Ihrem Unternehmen.

Diese Statusanalyse wird im Rahmen von KMU.DIGITAL mit einem Zuschuss von 80% gefördert und kostet unterm Strich 100€.

Strategieberatung im Bereich IT-und Cybersecurity

Im zweiten Schritt analysieren wir Lücken und Verbesserungspotenziale und defineren wir konkrete Maßnahmen gegen Datenverlust, Sicherheitslücken und Sicherheitsschwachstellen.

Diese Beratung wird im Rahmen von KMU.DIGITAL mit einem Zuschuss von 50% (max. 1.000€) gefördert.

Beantragung eines Cyber Trust Austria Labels

Als letzter Schritt beantragen wir das Austria Cyber Trust Label Ihrer Wahl und schaffen damit den Nachweis relevanter Mindestsicherheitsstandards für Zulieferer und ein Qualitätsmerkmal & den Nachweis von Vertrauenswürdigkeit gegenüber Ihren Kunden.

Durch die gute Vorbereitung in den ersten drei Schritten wird dies einfach erreicht werden.