Es ist nur eine Frage der Zeit, bis die EU-Verordnung NIS2 in eine nationale Richtlinie gegossen wird. Damit der Einstieg möglichst reibungslos über die Bühne geht, können steirische Unternehmen von Förderungen und umfassender Beratung profitieren. Dominic Neumann von UBIT Steiermark im ITWelt.at-Interview. [...]
Wie bewerten Sie die aktuellen Herausforderungen bei der Umsetzung von NIS2 und welche Schritte sollten Unternehmen jetzt ergreifen, um sich vorzubereiten?
Dominic Neumann Die EU hatte vorgesehen, die NIS2-Richtlinie bis zum 18. Oktober 2024 in nationales Recht umzusetzen. Tatsächlich hat bisher jedoch kaum ein europäischer Staat diese Vorgabe erfüllt. Wir rechnen damit, dass entsprechende Gesetze Ende des zweiten Quartals vorliegen werden. Das Hauptproblem liegt derzeit nicht nur in der fehlenden gesetzlichen Grundlage, sondern auch darin, dass viele Unternehmen nicht wissen, ob und in welchem Umfang sie von NIS2 betroffen sind. Um hier Aufklärung zu schaffen, setzen wir verstärkt auf Informationskampagnen.
In der Steiermark gibt es beispielsweise eine Förderung von bis zu 50 Prozent der Umsetzungskosten, maximal 15.000 Euro. Aus unserer Erfahrung bewegen sich die Gesamtkosten einer vollständigen Anpassung an die NIS2-Vorgaben zwischen 30.000 und 50.000 Euro. Die genaue Höhe hängt davon ab, wie gut ein Unternehmen bereits aufgestellt ist.
Bemerken Sie auf Unternehmensseite eine Unsicherheit beim Thema NIS2?
Die Unsicherheit liegt derzeit weniger bei den Unternehmen selbst als vielmehr bei den Beratern. Da wir immer wieder neue Informationen erhalten, ist es schwierig, eine Beratung anzubieten, die alle künftigen Anforderungen präzise abdeckt. ISO 27001 bietet zwar einen umfassenden Rahmen für Informationssicherheit, soll aber laut bisherigen Erkenntnissen allein nicht ausreichen, um NIS2 vollständig zu erfüllen.
Aktuell empfehlen wir Unternehmen, eine erste Einschätzung vornehmen zu lassen, um zu prüfen, ob sie unter die Richtlinie fallen. Als grobe Richtwerte gelten mindestens 50 Mitarbeiter oder ein Jahresumsatz von 10 Millionen Euro. In der Zwischenzeit arbeiten wir auf Basis der ISO 27001, da diese viele Anforderungen bereits abdeckt.
Für österreichische Unternehmen ist die aktuelle Verzögerung eine Chance: Sie haben noch ein halbes bis Dreivierteljahr Zeit, um sich auf die Umsetzung konzentrieren zu können. Es ist klar, dass die EU-Vorgabe verbindlich ist und nationale Regelungen folgen werden. Unternehmen sollten diese Zeit nutzen, um ihre Sicherheitsmaßnahmen zu überprüfen und gegebenenfalls anzupassen.
Wie viel Zeit sollten Unternehmen realistischerweise für die Umsetzung von NIS2 einplanen, und welche internen Herausforderungen sind dabei zu berücksichtigen?
Ein realistischer Zeitrahmen für die Umsetzung der NIS2-Vorgaben liegt zwischen sechs Monaten und einem Jahr. Erste Beratungen zeigen, dass Unternehmen mit mittelmäßigem Vorbereitungsstand – etwa solchen, die bereits grundlegende Prozesse definiert haben – meist mindestens ein halbes Jahr benötigen. Dabei geht es primär um die Absicherung und Dokumentation von Prozessen, weniger um Technologie. Diese Konzentration auf Prozesssicherheit gilt sowohl für NIS2 als auch für Standards wie die ISO 27001-Zertifizierung.
Wichtig ist, dass Unternehmen verstehen, dass die Umsetzung nicht allein durch externe Berater erfolgen kann. Während Berater bei der Ausformulierung und Strukturierung der Prozesse unterstützen, muss die grundlegende Definition dieser Abläufe vom Unternehmen selbst kommen. Hier sind interne Ressourcen gefragt, was oft unterschätzt wird. Unternehmen müssen Zeit und Mitarbeiterkapazitäten bereitstellen, was die Umsetzung verzögern kann – insbesondere, wenn interne Termine verschoben werden oder andere Prioritäten dazwischenkommen.
Daher gilt: Unter optimalen Bedingungen ist eine Umsetzung in sechs Monaten möglich. Häufiger wird jedoch ein Zeitraum von etwa einem Jahr benötigt, um alle Anforderungen vollständig zu erfüllen.
Welche personellen Anforderungen und internen Ressourcen müssen Unternehmen für die Umsetzung von NIS2 einkalkulieren?
Während Berater das notwendige Fachwissen und die methodische Begleitung einbringen, ist die aktive Mitarbeit der Unternehmen unerlässlich – insbesondere, wenn es um die Definition und Etablierung von Prozessen geht.
Ein seriöser Berater wird von Beginn an darauf hinweisen, dass die Umsetzung nur gelingt, wenn Unternehmen ausreichend interne Ressourcen bereitstellen. Unsere Erfahrung zeigt, dass der Zeitaufwand für Berater und Unternehmen ungefähr gleich verteilt ist.
Ein weiterer kritischer Punkt ist die interne Organisation. Projekte dieser Art funktionieren nur, wenn eine zentrale Ansprechperson im Unternehmen definiert wird. Sobald mehrere Ansprechpartner eingebunden sind, kann das Projekt leicht scheitern. Deshalb starten wir erst, wenn klar ist, wer diese Rolle übernimmt. Unternehmen müssen sich zudem bewusst sein, dass diese Person für die Dauer des Projekts – oft mehrere Monate – nur eingeschränkt für andere Aufgaben zur Verfügung steht.
Welche Strategien verfolgen Sie aktuell, um Unternehmen über NIS2 und entsprechende Fördermöglichkeiten zu informieren?
Um Unternehmen für die Anforderungen von NIS2 zu sensibilisieren und gleichzeitig auf die Fördermöglichkeiten hinzuweisen, setzen wir auf eine Kombination aus Informationskampagnen und direktem Austausch. Gemeinsam mit der Steirischen Forschungsgesellschaft (SFG) haben wir eine spezielle Förderaktion ins Leben gerufen, die am 1. Jänner gestartet ist. Die Inhalte werden abgestimmt in den Newslettern der SFG und der UBIT verbreitet, um eine möglichst breite Zielgruppe zu erreichen.
Zudem führen wir eine umfassende Roadshow durch alle Bezirke der Steiermark durch. Diese Veranstaltungsreihe, die von Murau bis Leibnitz reicht, ermöglicht uns, direkt vor Ort mit Unternehmern ins Gespräch zu kommen. Der Abschluss der Kampagne findet in Graz statt, wo wir die Regionen Graz und Umgebung gemeinsam adressieren.
Ein zentraler Aspekt unserer Bemühungen ist es, Unternehmen ein niederschwelliges Angebot zu machen. Beispielsweise können sie mit einer kurzen Erstberatung klären lassen, ob sie überhaupt von den NIS2-Vorgaben betroffen sind. Dieses Vorgehen hilft, Unsicherheiten abzubauen und den Einstieg in das Thema zu erleichtern.
Wie beeinflusst die Lieferketten-Thematik die NIS2-Betroffenheit von Unternehmen, insbesondere kleinerer Zulieferer?
Die NIS2-Richtlinie, ähnlich wie die ISO 27001, legt großen Wert auf die Sicherheit entlang der gesamten Lieferkette. Sobald ein Unternehmen als Lieferant oder Dienstleister für ein NIS2-pflichtiges Unternehmen tätig ist, können entsprechende Anforderungen auch auf den Zulieferer durchschlagen. Dies betrifft sowohl kleinere Betriebe mit wenigen Mitarbeitern als auch solche, die weit von den typischen Grenzwerten für NIS2 entfernt sind.
Ein Bewusstsein für diese Thematik zu schaffen, ist essenziell. Unternehmen müssen verstehen, dass ihre Rolle in der Lieferkette Auswirkungen auf ihre Verpflichtungen haben kann – unabhängig von ihrer Größe. Dabei sollten sie sich proaktiv mit den Anforderungen auseinandersetzen, die von größeren Partnern oder Kunden an sie gestellt werden könnten. Hier zeigt sich erneut, wie wichtig es ist, die gesamte Wertschöpfungskette in Sicherheits- und Prozessüberlegungen einzubeziehen.
Wie wird NIS2 in der Praxis die Anforderungen an Lieferketten verändern, und welche Konsequenzen hat das für Zulieferer?
In der Praxis wird NIS2 unweigerlich dazu führen, dass größere Unternehmen ihre Lieferketten einer intensiven Prüfung unterziehen. Gerade Zulieferer, die bisher weit von einer direkten NIS2-Betroffenheit entfernt sind, werden stärker in den Fokus rücken.
Bei größeren Unternehmen wird dies höchstwahrscheinlich durch vertragliche Regelungen gesichert. Bereits jetzt existieren oft Anforderungen wie die ISO 27001 oder ähnliche Standards, die Zulieferer erfüllen müssen. Diese werden durch NIS2 noch stärker formalisiert und verbindlich. Für kleinere Unternehmen, die nicht direkt in den Geltungsbereich der Richtlinie fallen, wird NIS2 somit zu einer indirekten Pflicht.
Diese Entwicklung macht Informationssicherheit zu einer Frage der Wettbewerbsfähigkeit. Unternehmen, die die geforderten Standards nicht erfüllen, riskieren, aus der Lieferkette ausgeschlossen zu werden.
Wie ist die Einführung von NIS2 im Vergleich zur ISO 27001 zu bewerten, und welche Schlüsselfaktoren sind für eine erfolgreiche Umsetzung entscheidend?
NIS2 ist der nächste logische Schritt nach der Einführung der ursprünglichen NIS-Richtlinie und adressiert die wachsenden Anforderungen an die Cybersicherheit für Unternehmen. Ähnlich wie die ISO 27001 konzentriert sich NIS2 auf die Absicherung von Prozessen, bietet jedoch einen spezifischeren Rahmen für die gesetzlich geforderte Informationssicherheit in der EU.
Ein zentraler erster Schritt ist die Erhebung des aktuellen Stands der Technik und Prozesse im Unternehmen. Dabei geht es nicht nur um technische Aspekte, sondern auch um die Analyse und Optimierung von Abläufen. Diese Bestandsaufnahme ist essenziell, bevor weitere Maßnahmen umgesetzt werden können.
Die Anforderungen von NIS2 sind größtenteils vergleichbar mit denen der ISO 27001, einem international anerkannten Standard für Informationssicherheits-Managementsysteme. Diese Parallelen bieten Unternehmen, die bereits nach ISO 27001 zertifiziert sind, eine solide Grundlage. Dennoch ist es wichtig zu betonen, dass NIS2 durch seine spezifische Ausgestaltung in manchen Bereichen über die ISO-Richtlinie hinausgeht.
Ein entscheidender Erfolgsfaktor für die Umsetzung von NIS2 – wie auch bei der ISO 27001 – ist die Einbindung der gesamten Organisation. Sicherheitsprozesse müssen von der Unternehmensführung vorgelebt und aktiv unterstützt werden. Nur so können sie nachhaltig implementiert werden. Top-Down-Kommunikation spielt dabei eine zentrale Rolle: Führungskräfte müssen den Nutzen und die Notwendigkeit klar vermitteln, um die Akzeptanz bei den Mitarbeitern zu fördern.
Wo liegen derzeit die größten Risiken und Herausforderungen im Bereich der Informationssicherheit, und wie können Unternehmen darauf reagieren?
Technisch hat sich die Situation in den letzten Jahren deutlich verbessert. Betriebssysteme sind sicherer geworden, Hardware wie Firewalls ist leistungsfähiger und kostengünstiger, und Unternehmen haben besseren Zugang zu Sicherheitslösungen. Diese Entwicklungen tragen dazu bei, dass lokale Netzwerke besser abgeschirmt sind und grundlegende Sicherheitsstandards leichter umzusetzen sind. Dennoch bleibt die Gefahr durch Malware und Spyware bestehen – insbesondere dann, wenn regelmäßige Updates, Scans und Protokollauswertungen vernachlässigt werden.
Das größere Risiko liegt jedoch oft bei den Mitarbeitern. Phishing-Angriffe, bei denen sensible Zugangsdaten preisgegeben werden, sind weiterhin eine der häufigsten Ursachen für Sicherheitsvorfälle. Selbst mit modernster Technik können diese Gefahren nur durch gezielte Schulungen und ein erhöhtes Bewusstsein der Belegschaft minimiert werden.
Ein weiteres Problem ist, dass viele Unternehmen noch immer keine durchgängige Prozesssicherheit implementiert haben. Hier greift die Parallele zur DSGVO: Ähnlich wie diese einst Unternehmen dazu zwang, sich erstmals intensiv mit ihren Daten und deren Schutz auseinanderzusetzen, ist NIS2 ein weiterer Schritt in Richtung einer bewussteren und strukturierten Herangehensweise an Sicherheitsthemen.
Um das bestmögliche Schutzniveau zu erreichen, müssen Technik und Prozesssicherheit Hand in Hand gehen. Technologische Lösungen schaffen die Grundlage, aber die Absicherung der Arbeitsabläufe und das Bewusstsein der Mitarbeiter sind die Schlüssel, um langfristig vor Sicherheitsvorfällen geschützt zu sein.
Wie bewerten Sie die Auswirkungen von künstlicher Intelligenz auf IT-Sicherheit und Risiken sowie auf diverse Branchen wie das Beratungsgeschäft?
KI wird zweifellos ein Gamechanger in vielen Bereichen sein, von der Medizintechnik bis hin zur Sicherheitsbranche. Doch die Akzeptanz von KI hängt stark von ihrer Nachvollziehbarkeit ab. Solange KI als Blackbox agiert und ihre Entscheidungen nicht transparent sind, bleibt das Vertrauen begrenzt. Vertrauen ist essenziell – eine KI ist immer nur so gut oder schlecht, wie sie entwickelt und trainiert wird. Vorfälle wie die unbeabsichtigte Tendenz zu rassistischen Ergebnissen bei früheren KI-Ansätzen zeigen, wie wichtig sorgfältige Entwicklung und Überwachung sind.
Was den Einsatz von KI in der IT-Sicherheit betrifft, gleichen sich Angriffs- und Verteidigungsseite aus. Kriminelle nutzen KI, aber auch Sicherheitslösungen werden immer stärker durch KI unterstützt. Die Balance bleibt erhalten.
Im Beratungsgeschäft sehe ich keine negativen Auswirkungen durch KI, sondern eher Chancen. Berater, die sich mit KI befassen, können ihre Kunden unterstützen, diese Technologie effektiv einzuführen und zu nutzen. KI wird das Geschäft nicht ersetzen, sondern eher erweitern, da strategische Entscheidungen, individuelle Anpassungen und menschliche Erfahrung weiterhin unerlässlich bleiben.
Ein Bereich, der stärker betroffen sein könnte, ist das Systemadministrationsgeschäft. Da viele Unternehmen ihre Daten und Anwendungen zunehmend in die Cloud auslagern, sinkt der Bedarf an lokalem IT-Personal. Lokale Sys-Admins könnten daher weniger gefragt sein, während Cloud-Dienste und deren Verwaltung stärker an Bedeutung gewinnen.
Bei Softwareentwicklern wird sich der Bedarf ebenfalls verändern. Während einfache Programmieraufgaben möglicherweise zunehmend automatisiert oder ausgelagert werden, bleibt der Bedarf an hochqualifizierten Entwicklern vor Ort bestehen. Die Größe der lokalen Teams könnte jedoch schrumpfen, da KI-gestützte Tools den Entwicklungsprozess effizienter machen.
Insgesamt bleibt der Berater ein wichtiger Partner für Unternehmen, insbesondere in der strategischen Planung und Einführung neuer Technologien wie KI. Es ist eine Entwicklung, die Berater nicht ersetzen, sondern ihre Rolle erweitern wird.
Inwiefern trägt NIS2 zur internationalen Wettbewerbsfähigkeit Europas bei, insbesondere im Vergleich zu den großen Blöcken wie den USA und China?
Europa befindet sich seit Jahren in einer herausfordernden Position zwischen den technologischen Großmächten USA und China. Beide Blöcke investieren massiv in Forschung, Entwicklung und digitale Sicherheit, während Europa in vielen Bereichen hinterherhinkt. Die Einführung von Richtlinien wie NIS2 ist ein wichtiger Schritt, um Europas Position im globalen Wettbewerb zu stärken.
NIS2 schafft einen einheitlichen Sicherheitsstandard, der nicht nur dazu dient, europäische Unternehmen vor Cyberangriffen zu schützen, sondern auch ihre Wettbewerbsfähigkeit auf internationaler Ebene zu sichern. Unternehmen, die diese Standards einhalten, können sich als verlässliche Partner positionieren, insbesondere in globalen Lieferketten. Das Vertrauen in sichere europäische Strukturen und Prozesse wird zunehmend zu einem entscheidenden Faktor in Handelsbeziehungen und internationalen Kooperationen.
Fördert NIS2 die Wettbewerbsfähigkeit durch Cybersicherheit, oder besteht die Gefahr einer Überregulierung, die Unternehmen ausbremst?
NIS2 ist nicht darauf ausgelegt, unnötige Bürokratie zu schaffen, sondern ein Mindestmaß an Sicherheit zu erfüllen. Die Richtlinie legt den Fokus auf grundlegende Prozesssicherheit, die leicht umsetzbar ist und einen klaren Mehrwert bietet. Zwar können Sicherheitsprozesse dazu führen, dass interne Abläufe langsamer werden, der Gewinn an Informationssicherheit überwiegt jedoch klar. Unternehmen profitieren langfristig von einem besseren Schutz vor Cyberangriffen, einer erhöhten Resilienz und dem Vertrauen von Geschäftspartnern.
Eine stärkere Informationssicherheit ist immer eine sinnvolle Investition, selbst wenn sie kurzfristig Anpassungen und Veränderungen erfordert. Gerade in einer Zeit, in der Cyberangriffe immer komplexer werden, ist es wichtiger denn je, die Grundlagen zu sichern. NIS2 sorgt dafür, dass diese Sicherheitsbasis auf europäischer Ebene harmonisiert wird, was nicht nur Unternehmen schützt, sondern auch die gesamte europäische Wirtschaft stärkt.
Um das volle Potenzial von NIS2 auszuschöpfen, ist es entscheidend, das Bewusstsein für Informationssicherheit weiter zu schärfen. Viele Unternehmen unterschätzen noch immer, wo die größten Risiken liegen, sei es durch mangelnde Prozesssicherheit, unzureichende Schulung der Mitarbeiter oder fehlende technische Standards. Hier liegt eine der wichtigsten Aufgaben: Unternehmen zu sensibilisieren und zu unterstützen, damit sie die Vorteile von NIS2 effektiv nutzen können.
Be the first to comment