Klaus Lussnig und Jens Bußjäger im Gespräch darüber, wer aller die EU-Richtline für Cybersicherheit umsetzen muss, warum die Nicht-Berücksichtigung gefährlich ist – und warum Freiwilligkeit nicht ausreicht.
Herr Lussnig, in der letzten Folge haben wir gesehen, dass Deutschland da schon um einiges weiter ist, was die Umsetzung von NIS2 anbelangt. So gibt es beispielsweise eine Aufteilung der betroffenen Industrien nach Sektoren, die bereits ausgereift ist. Sollte Österreich diese Sektorenaufteilung übernehmen, oder sehen Sie Punkte, die der heimischen Situation besser entsprechen?
Klaus Lussnig: Ich möchte genau dort anknüpfen und nochmal betonen, dass ich die Sektoraufteilung als „MUSS“-Aufforderung des Landes Österreich an die österreichischen Unternehmen und die Kritischen Infrastrukturen sehe.
Warum ist das für Sie so wichtig?
Lussnig: NIS2 reguliert über die Größe eines Unternehmens mittels size cap rules, welche nach mittleren und großen Unternehmen unterscheidet und auch Kleinunternehmen in bestimmten Ausnahmefällen berücksichtigt. Dazu wird noch auf das Level-playing-Field eingegangen – also geschaut, ob das Unternehmen seine Leistung in der EU erbringt. Zusätzlich noch die Unterscheidung öffentliche und private Einrichtung getroffen und nach Art der Einrichtung entschieden. Auch das ist eindeutig geregelt, und zwar in Spalte 3 von Anhang I & II der Tabelle nach wesentlichen oder wichtigen Einrichtungen. Ist doch eine klare Vorgabe, oder?
Jetzt meinen aber viele Unternehmen oder Betreiber kritischer Infrastrukturen, unter den Punkt „Kleinunternehmen“ zu fallen und ausgenommen zu werden.
Lussnig: Die Empfehlung der EU-Kommission für ein Kleinunternehmen 2003/361/EG sagt jedoch aus, dass ein kleines Unternehmen nur dann „KLEIN“ ist, wenn es weniger als 50 Personen beschäftigt UND der Jahresumsatz bzw. die Jahresbilanz 10 Mio EUR nicht übersteigt. Viele Unternehmen wissen aber auch gar nicht, dass sie, anders als in NIS 1, jetzt unter NIS 2 fallen. Steinmetze zum Beispiel, durch den Einsatz chemischer Mittel. Unter NIS1 gab es 100 Betreiber wesentlicher Dienste, unter NIS 2 werden 5.000 Betreiber erwartet.
Das Topmanagement ist sich der Tragweite von NIS2 und der eigenen Haftung noch nicht immer bewusst.
Dann gibt es ja auch noch die EURichtlinie für kritische Infrastruktur, die jeweils von den nationalen Regierungen identifizierte Unternehmen betrifft. Wie spielt das mit NIS 2 zusammen?
Jens Bußjäger: Es sind im gesamten mehrere Elemente zu beachten. Hier wird wohl ein KRITIS-Dachgesetz kommen, dass ab 2023 Anforderungen zur Resilienz und physischen Sicherheit der Kritischen Infrastrukturen konkretisieren soll. Hier finden wir dann wohl viele der Anforderungen EU RCE/CER wieder, des weiteren das ITSiG 3.0 und Änderungen mit dem Mittel der Rechtsverordnung zu KRITIS Entsorgung und z. B. der UBI.
Ist das in Österreich auch schon so eindeutig zu sagen?
Lussnig: In Österreich gibt es noch keine konkreten Aussagen, inwieweit sich Änderungen ergeben werden. Da hat erst die logistische Umsetzung angefangen. Insofern denke ich mir, dass sich da sicher noch etwas tun wird, spielt ja auch der CRA (Cyber Resilliance Act) eine Rolle.
Warum ist das so? Cybersicherheit ist überlebenswichtig, die täglich bekannt werdenden Angriffe auf die digitale Infrastruktur verschiedener Unternehmen gefährden nicht nur die Existenz der jeweiligen Betriebe, sondern sind in kritischen Bereichen sogar weit darüber hinaus bedrohlich.
Lussnig: Das Topmanagement ist sich der Tragweite von NIS2 und den einhergehenden Risikomanagementmaßnahmen, aber auch der eigenen Haftung noch nicht immer bewusst. Dies alles basiert auf dem All-Gefahren-Ansatz und dem risikobasierten Ansatz, wo man sich auch mit dem Thema Selbsteinschätzung konfrontiert sehen wird. Da derzeit jedoch nur über „Mindestanforderungen“ gesprochen wird, welche auf ISO 27001, ISO 27002 und 27019 basieren, in Kombination mit IEC 62443 und diversen sektorspezifischen Sicherheitsvorkehrungen, ist es schwierig, den Durchblick zu erhalten. Fragen kommen daher erst bei der Umsetzung auf – nachgebessert werden kann erst, wenn Fragen aufkommen.
Kommen wir zu konkreten Maßnahmen. Was ist in Deutschland jetzt schon verbindlich vorgeschrieben?
Bußjäger: Mit dem ITSiG 1.0 wurde für alle Kritischen Infrastrukturen die Einführung eines ISMS (Informationsecurity Management System) verbindlich. Mit der ersten Kritis-VO wurden die Rahmenbedingungen beschrieben, welche Unternehmen Kritis sind und entsprechend einen Nachweis zum ISMS erbringen müssen. Hier waren die Unternehmen selbst aufgefordert, sich zu melden. Alle Kritischen Infrastrukturen sollten in Bezug auf Cybersicherheit den „Stand der Technik“ einsetzen. Beides hat nicht ausreichend funktioniert.