Die Österreichische Computer Gesellschaft (OCG) lud in Kooperation mit Cryptas und Sophos am 8. April 2024 in die OCG Räumlichkeiten im 1. Bezirk Wiens zum Business Breakfast NIS-2 ein. Es wurden die Schwerpunkte und rechtliche Aspekte der EU Cybersecurity-Richtlinie beleuchtet sowie spezifische Branchenprobleme und Best Practice Beispiele für die Umsetzung präsentiert.
Unter fachkundiger Moderation von Wolfgang Prentner, Ziviltechniker und Leiter des OCG Zertifizierungskomitees (ISO/IEC 27001) gaben die Vortragenden dem interessierten Fachpublikum Einblick in die aktuellen Entwicklungen: Arno Spiegel (BKA, NIS-Büro), Stefan Eder (Benn-Ibler Rechtsanwälte GmbH), Thomas Pfeiffer (Linz Netz), Stefan Bumerl (CRYPTAS), Markus Gröller (SOPHOS), Nina Thomann (NCC-AT) und Wolfgang Resch (OCG). Die Präsentationsfolien der Vortagenden stehen auf der CRYPTAS Website zum Download zur Verfügung.
Keine Schikane, sondern wichtige Maßnahme
„Es geht darum, den heimischen Markt sicherer zu gestalten“
, sagt Arno Spiegel vom NIS-Büro des Bundeskanzleramts, der darauf hinweist, dass das Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024 (NIS-2) am 3. April in Begutachtung gegangen ist und noch bis 1. Mai eine Stellungnahme dazu abgegeben werden kann. Für das Gesetz ist eine 2/3 Mehrheit im Österreichischen Nationalrat erforderlich und das Plenum wird voraussichtlich Anfang Juli zur Beschlussfassung zusammentreten.
Rechtzeitig um Beratung kümmern
„Unabhängig davon, ob das nationale NIS-2-Gesetz rechtzeitig vor 18. Oktober 2024 beschlossen wird, bleibt die Umsetzung der EU-Richtline keinem Unternehmen erspart. Berater*innen, zertifizierende und prüfende Stellen haben nur begrenzte Ressourcen, um NIS-Prüfungen durchzuführen“
, betont Wolfgang Resch, Leiter der Prüf- und Zertifizierungsstelle der OCG. Generell werden alle NIS-1-Betroffenen auch von der NIS-2 betroffen sein. Da neue Branchen und Bereiche hinzukommen und die Schwellwerte in den NIS-1-betroffenen Bereichen generell durch KMU-Grenzen ersetzt werden, erhöht sich die Zahl der betroffenen Einrichtungen massiv.
Strafen und Haftung von Management
“Angst ist ein schlechter Ratgeber – aber manchmal hilft sie doch, um das Bewusstsein für drohende Cyberangriffe zu wecken und in der Folge wichtige Maßnahmen zur Erhöhung der IT- Sicherheit zu setzten. Es ist höchste Zeit aktiv zu werden!”
, so Wolfgang Resch.
Zur Sorgfaltspflicht und Haftungsverantwortung der Leitungsorgane referierte der Jurist und Informatiker Stefan Eder von Benn-Ibler Rechtsanwälte GmbH. „Der EU Gesetzgeber hat Leitungsorgane für die Cybersicherheit in Unternehmen in Verantwortung genommen, wobei NIS-2 bei weitem nicht die einzige Maßnahme in diesem Bereich ist“
, betont Eder. „Unkenntnis schützt vor Strafe nicht – das gilt auch in der Cybersicherheit“
. Unternehmen müssen sich fragen, wo das Risiko liegt, denn ein Vorfall bzw. ein Schaden kann vielfältig sein. Neben wirtschaftlichem Schaden kann es auch zu (gravierenden) persönlichen Schäden kommen, z. B. wenn ein Versorgungssystem in einem Spital ausfällt oder ein Herzschrittmacher gestört wird.
Es ist anzunehmen, dass Haftung und Schulungsverpflichtung des Top-Managements ein zusätzlicher Hebel sein werden, um der neuen Richtlinie zu einer schnellen und angemessenen Umsetzung zu verhelfen. Daher ist es für Unternehmen unumgänglich, sich rechtzeitig zu informieren und Maßnahmen zu setzen.
Cybersecurity-Richtlinie
Die Europäischen Cybersicherheitsstrategie der EU wurde entwickelt, um ein höheres Sicherheitsniveau von Netz- und Informationssystemen in der ganzen EU zu erreichen. Die EU verspricht sich mit ihrer Ende 2022 in Kraft gesetzten Cybersecurity-Richtlinie NIS-2 mehr Resilienz für die gesamte Infrastruktur als Basis für das Funktionieren des EU-Binnenmarktes. Die nationale Umsetzungsfrist endet am 18. Oktober 2024, dann muss eine Novelle des österreichischen NISG und der Begleitverordnungen in Kraft treten. Das Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024 (NIS-2) ist seit 3. April 2024 in Begutachtung und noch bis 1. Mai kann dazu eine Stellungnahme abgegeben werden.
Fördermittel für KMUs
Die Förderausschreibung Cyber Security Scheck 2023 wurde verlängert, „es gibt noch Fördermittel vom FFG“
, betonte Nina Thomann vom NCC-AT. Bis 15. April kann noch eingereicht werden, die Einreichung ist unkompliziert und das NCC-AT-Büro steht für Nachfragen gerne bereit.
Prüf- und Zertifizierungsangebote der OCG
Als Qualifizierte Stelle nach dem NIS-Gesetz bietet die OCG eine ISO/IEC 27001 Zertifizierung auch in Kombination mit einer NISG-Prüfung an. Durch Kombinationsaudits werden große Teile der organisatorischen Maßnahmen eines Unternehmens abgedeckt. Die OCG biete auch Gap-Analysen und Präaudits an.
OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS. www.ots.at
(C) Copyright APA-OTS Originaltext-Service GmbH und der jeweilige Aussender. Österreichische Computer Gesellschaft (OCG)