Verpflichtende Mitarbeiterschulungen sind ebenso Thema wie die Notwendigkeit von Verschlüsselungstechnologie und Multi-Faktor-Authentifizierungen. Außerdem werden Meldepflichten verschärft, kommt es tatsächlich zu einem Cyberangriff. In Summe soll mit der sogenannten „NIS-2-Richtlinie“ in den Staaten der Europäischen Union die Schaffung von einheitlichen und hohen Sicherheitsstandards garantiert werden.
In Österreich liegt die EU-weite Regelung nach monatelangen Diskussionen jetzt aber überraschend auf Eis. Im Parlament wurde der Gesetzesentwurf zum „NISG 2024“ abgeschmettert, die notwendige Zweidrittelmehrheit nicht erreicht. Geschlossen sprach sich die Opposition dagegen aus. Vor allem die geplante Ansiedelung der neuen, wohl mit knapp 200 Spezialistinnen und Spezialisten ausgestatteten, Cybersicherheitsbehörde im Innenministerium sorgt für Unmut. Von einem zu mächtigen „Superministerium“ ist die Rede, aber auch von einem „Zielkonflikt“. Immerhin wäre das Ministerium dann für IT-Sicherheit und Einzelstrafverfolgung zuständig. Letztere wiederum fordere immer wieder die Offenhaltung gewisser Sicherheitslücken, um etwa Spionagesoftware platzieren zu können.
Ein Vertragsverletzungsverfahren droht
Wie dem auch sei, ein erneuter Anlauf vor der Nationalratswahl am 29. September scheint im Moment unrealistisch. Was zum Ungemach führen könnte, da die Mitgliedsstaaten die 2013 in Kraft getretene Richtlinie bis spätestens 17. Oktober 2024 in nationales Recht gießen müssen. Tun sie das nicht, droht ein Vertragsverletzungsverfahren.
Eine „echte Tragödie“ im Vorgehen der Politik ortet indes Markus Seme, Geschäftsführer des Grazer Cybersecurity-Spezialisten BearingPoint. Erst das österreichische Gesetz würde „die EU-Vorgabe präzisieren, um eine detaillierte Vorgehensweise für Unternehmen exakt ableiten zu können“. Sehr wahrscheinlich von NIS-2-betroffenen Betrieben rät Seme, „planmäßig weiterzumachen und sich an den veröffentlichten Gesetzesentwurf zu halten“.
In der Realität zeige sich dieser Tage aber häufiger ein anderes Bild. Unternehmen würden nach dem parlamentarischen Stopp jetzt „auf die Bremse steigen“, sagt Seme – „auf Angreiferseite aber wartet man nicht ab“.
Welche Strafen drohen
Gilt derzeit die NIS-Richtlinie aus dem Jahr 2016, ändert sich durch NIS 2 vor allem, dass „deutlich mehr Unternehmen in diese Norm fallen“, erklärt Seme. Wer wirklich zum Handkuss kommt, ist noch nicht letztlich geklärt. Prinzipiell umfasst der Anwendungsbereich 18 Sektoren – von Energie, Verkehr und Bankwesen über die Verwaltung von IKT-Diensten bis hin ins Gesundheitswesen. Entscheidend sind aber auch Mitarbeiteranzahl und der erzielte Umsatz des jeweiligen Unternehmens. So fallen kleine Betriebe mit weniger als 50 Beschäftigten und zehn Millionen Euro Jahresumsatz grundsätzlich nicht unter NIS 2.
Während die konkrete Einstufung bei der Umsetzung der geforderten Sicherheitsmaßnahmen keinen Unterschied macht, ist die Klassifizierung sehr wohl entscheidend für die Aufsicht und das drohende Strafmaß. Bei „wesentlichen Einrichtungen“ beträgt der Bußgeldrahmen nämlich bis zu zehn Millionen Euro, oder bis zu zwei Prozent des weltweiten Umsatzes. Je nachdem, welcher Betrag höher ist. Bei „wichtigen Einrichtungen“ sind es immerhin „nur“ sieben Millionen Euro oder bis zu 1,4 Prozent des Umsatzes.
Das in den letzten Monaten häufig skizzierte Bürokratiemonster sieht Seme nicht. Im Gegenteil. „Selbst wenn das Gesetz letztendlich nicht verabschiedet würde, sind die meisten Vorschriften äußerst sinnvoll“, sagt der BearingPoint-Chef.