Begleiten Sie mich ins Jahr 2024. Es gab bisher keinen Blackout in Österreich oder der EU. Warum? Die NIS Direktive 2.0 der EU wurde schnell umgesetzt! Bereits im Dezember 2020 lag der Legislativvorschlag vor, welcher nach den Trilogverhandlungen im April 2022 beschlossen wurde. Das Netz- und Informationssystemsicherheitsgesetz (NISG), sowie die entsprechende Verordnung (NISV) wurden angepasst. Die Anforderungen wurden als Chance wahrgenommen und die Sicherheit der Anlagen der kritischen Infrastrukturen in Österreich wurde erhöht. Daher gab es noch keinen Blackout!
Wir sind wieder zurück im Jahr 2022. Hier die wichtigsten Punkte nicht nur für die Betreiber kritischer Infrastrukturen:
• Ausweitung des Anwendungsbereiches (Artikel 2) in zehn wesentliche und sechs wichtige Sektoren werden vorgeschlagen. Achtung: Nach der Empfehlung 2003/361/EG können Unternehmen, deren Anteile >25% in öffentlichen Hand liegen, nicht als KMU definiert werden und fallen somit auch unter die Prüfpflicht der Direktive.
• Anbieter digitaler Infrastrukturen werden durch die NIS 2.0 jetzt ebenfalls eingebunden. Dies wird den Betreibern der kritischen Infrastrukturen erleichtern resiliente ITK-Dienste zu nutzen.
• Hard- und Softwarehersteller müssen stärker die Sicherheit in den gelieferten informationstechnischen Systemen nach den Grundprinzipien der IT-Sicherheit (z.B. Security by Design) nachweisen.
• Nach Artikel 19 soll eine Koordinationsgruppe beauftragt werden, die strukturiert und koordiniert Risikobewertungen von Lieferketten durchführt um Bedrohungen und Schwachstellen zu ermitteln.
• Artikel 31, 33 beschreibt mögliche Geldbußen die jedoch auf ein Höchstmaß von 10 Mio. EUR begrenzt werden sollen.
• Betreiber kritischer Infrastrukturen werden verpflichtet, erhebliche sowie potenzielle IT-Sicherheitsvorfälle zu melden. Sehr gut ist, dass in Artikel 20 Ziffer 3 eine eindeutige Definition von erheblichen Sicherheitsvorfällen vorgenommen wurde.
Das sind nur die wesentlichsten Punkte. Der Referentenentwurf der NIS Direktive 2.0 wird natürlich noch in einigen Punkten verändert werden. Doch der notwendige Wille aller Beteiligten ist vorhanden. Es wird nicht ernsthaft bestritten, dass aufgrund einer Cyberattacke auch Europa einem Blackout treffen wird. Die Frage ist nur, wie wir uns darauf vorbereitet haben. Eine der wichtigsten Strategien, und hier wirken die Anforderung der NIS 2.0, ist die Erhöhung der Cybersecurity durch Nachweise, frühzeitiges Erkennung der Risiken und so das Verhindern von Ausfällen!
Es bleibt zu hoffen, dass es bei einem Blackout aufgrund eines Cyber-Angriffes nicht heißen wird: 2021/2022 gab es viele neue und weiterreichende Regularien in Sachen Cybersecurity. Hätten wir die nur rechtzeitig umgesetzt!