Für mehr Cybersicherheit soll es künftig neue Vorgaben für Unternehmen ab 50 Mitarbeitern aus der kritischen Infrastruktur geben.
IMAGO/Zoonar

"Ich habe ein kleines Unternehmen, warum sollten sich Hacker für mich interessieren?" Wer noch so denkt, hat ein Problem. Einerseits, weil die Gefahr von virtuellen Angriffen permanent zunimmt, andererseits, weil ab Herbst neue Regeln in Sachen Cybersecurity gelten. Tausende Unternehmen werden davon betroffen sein, müssen ihr Risikomanagement neu aufstellen und verbesserte Sicherheitsvorkehrungen treffen. Wer diese nicht umsetzt, muss mit Strafen in Millionenhöhe rechnen.

Konkret geht es um die EU-Cybersicherheitsrichtlinie NIS-2, die die Mitgliedsstaaten bis Mitte Oktober in nationales Recht umgesetzt haben müssen. Mitte vergangener Woche hat die Regierung einen entsprechenden Gesetzesentwurf in vierwöchige Begutachtung geschickt. DER STANDARD hat sich angesehen, was dieses Gesetz für Unternehmen bedeuten dürfte. Final sind die Bestimmungen noch nicht, doch in Fachkreisen erwartet niemand tiefgreifende Veränderungen.

Für wen gelten die neuen Regeln

Frage: Was ist das Ziel dieses Gesetzes?

Antwort: NIS steht für die Sicherheit der Netz- und Informationssysteme. Es geht dabei um ein einheitliches und höheres Cybersicherheitsniveau in der EU, bei dem auch die Zusammenarbeit zwischen den Mitgliedsstaaten gefördert werden soll.

Frage: Wer ist betroffen?

Antwort: Grundsätzlich gilt NIS 2 für große (ab 250 Beschäftigten oder einem Jahresumsatz von über 50 Millionen Euro und einer Jahresbilanz auf über 43 Millionen Euro) und mittlere (ab 50 Beschäftigten oder mehr als zehn Millionen Euro Jahresumsatz, sofern nicht groß) Unternehmen bestimmter kritischer Sektoren. Kleine Unternehmen können betroffen sein, wenn sie in der digitalen Infrastruktur tätig sind. Zigtausende auch kleine Unternehmen werden als Dienstleister oder Lieferanten indirekt von NIS 2 betroffen sein und vertraglich zu Risikomanagementmaßnahmen verpflichtet werden. Es wird zwischen "Sektoren mit hoher Kritikalität" (wesentlich) und "sonstigen kritischen Sektoren" (wichtig) unterschieden.

"Viele Unternehmen sehen sich nicht als kritisch im Sinne der Cybersicherheit und würden nicht vermuten, dass NIS 2 für sie gilt. Es fallen etwa auch größere Bäckereien oder Brauereien, wenn sie industriell fertigen, oder Hersteller von Kinderfahrrädern darunter", sagt Cybersecurity-Expertin Verena Becker von der WKÖ. Die Zeit dränge, wer sich noch nicht mit der Thematik befasst hat, müsse spätestens jetzt damit anfangen. "Unbedingt." Auf der WKO-Website gibt es einen Selbstcheck, ob man in den Anwendungsbereich fällt.

Frage: Was sind wesentliche und wichtige Einrichtungen?

Antwort: Als wesentliche Einrichtungen gelten große Unternehmen aus den Sektoren "mit hoher Kritikalität". Große und mittlere Einrichtungen aus den "sonstigen kritischen Sektoren" gelten als wichtig. Die Kategorie macht einen Unterschied, da wesentliche Einrichtungen sich regelmäßig Prüfungen unterziehen müssen und höheren Strafdrohungen unterliegen. Ersten Schätzungen zufolge gibt es etwa 1.000 wesentliche und 3.000 bis 4.000 wichtige Einrichtungen.

In Österreich werden etwa 5.000 Unternehmen von dem neuen Gesetz betroffen sein.
Screenshot wko.at

Entstehende Pflichten

Frage: Was müssen betroffene Unternehmen machen?

Antwort: Laut Entwurf müssen sie sich innerhalb von drei Monaten online registrieren – über welches Tool ist noch nicht klar.

Frage: Welche Maßnahmen sind zu setzen?

Antwort: Das Maßnahmenbündel ist umfangreich. Dazu zählen etwa regelmäßige Back-ups, Risikoanalysen, Schulungen der Belegschaft und der Leitungsorgane, aber auch die Anwendung von Verschlüsselungen und Multifaktorauthentifizierung. Zudem müssen Unternehmen die Sicherheitsmaßnahmen in ihrer Lieferkette überprüfen und bewerten.

Frage: Ab wann gilt das Gesetz?

Antwort: Das hängt vom Gesetzgebungsverfahren im Parlament ab, fixes Datum gibt es noch keines. "Die Unternehmen sollten sich darauf vorbereiten, dass die Regelungen für sie ab 18. Oktober gelten. Bis 17. Oktober müssen die Staaten die Richtlinie umgesetzt haben", sagt WKÖ-Expertin Becker.

Frage: Gibt es Berichtspflichten?

Antwort: Kommt es zu Cybersicherheitsvorfällen, müssen diese dem zuständigen CSIRT (Cybersecurity Incident Response Team) gemeldet werden. Von dort geht die Meldung an die im Innenministerium angesiedelte Cybersicherheitsbehörde.

Strafen

Frage: Welche Strafen drohen?

Antwort: Wer die NIS-2-Bestimmungen nicht erfüllt, dem drohen Strafen in Höhe von bis zu zehn Millionen Euro oder zwei Prozent des Gesamtjahresumsatzes bei wesentlichen Einrichtungen. Bei wichtigen Einrichtungen sind es sieben Millionen Euro oder 1,4 Prozent des Gesamtjahresumsatzes (je nachdem, welcher Betrag höher ist).

Frage: Für welche Vergehen fallen Strafen an?

Antwort: Es ist egal, welchen Verstoß man begeht. Wer beispielsweise die Registrierung verschläft, kann sanktioniert werden. Dementsprechend wichtig ist es für Unternehmen zu klären, ob man betroffen ist.

Frage: Gibt es Ausnahmen?

Antwort: Im Bereich der öffentlichen Verwaltung werden keine Geldstrafen verhängt. Vom Anwendungsbereich sind in der öffentlichen Verwaltung unter anderem Bereiche nationaler Sicherheit, öffentlicher Sicherheit und militärischer Landesverteidigung, Gerichtsbarkeit und (Hoch-)Schulwesen sowie Gemeinden ausgenommen.

Aufwand

Frage: Wann müssen die entsprechenden Maßnahmen umgesetzt sein?

Antwort: Mit Inkrafttreten des Gesetzes müssen Unternehmen NIS-2-fit sein. Es gibt keine Übergangsfristen.

Frage: Wie hoch ist der Aufwand für Unternehmen, um die Maßnahmen umzusetzen?

Antwort: Allgemeingültige Antwort gibt es laut Marc Nimmerrichter von der Cybersecurity-Firma Certitude nicht. Für hunderte Betriebe dürfte das Thema völliges Neuland sein, auf die kommt viel Arbeit zu. Der Entwurf sei sehr weit gefasst, klar formuliert – ein Kratzen an der Oberfläche reiche hier nicht aus.

Frage: Sind die Anforderungen für alle gleich?

Antwort: Nein, die Maßnahmen müssen verhältnismäßig sein. Dabei werden Größe und Risikoexposition der Einrichtung berücksichtigt sowie die Wahrscheinlichkeit von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen.

Kosten

Frage: Mit welchen Kosten ist zu rechnen?

Antwort: "Das lässt sich ebenfalls nicht einfach so sagen. Es kommt darauf an, wie viel bereits gemacht wurde und wie viel intern erledigt werden kann", sagt Nimmerrichter. Nehme man als Beispiel einen Maschinenbauer mit 60 Beschäftigten, könnten externe Kosten zwischen ein paar Tausend bis zu 50.000 Euro betragen.

Frage: Gibt es Förderungen?

Antwort: Für Betroffene stehen sogenannte Cybersecurity-Schecks der Forschungsförderungsgesellschaft (FFG) zur Verfügung. Die Einreichfrist endet allerdings am 15. April. Ob diese Förderung verlängert und/oder eine neue aufgelegt wird, ist noch unklar. Ohne staatliche Unterstützung wird es für viele Unternehmen aber wohl kaum gehen.

Frage: Wer haftet?

Antwort: Leitungsorgane, die ihre Pflichten verletzen, haften den Einrichtungen gegenüber für den schuldhaft verursachten Schaden. Sie müssen an für diese Zielgruppe spezifisch gestalteten Cybersicherheitsschulungen teilnehmen. (Andreas Danzer, 9.4.2024)