Wann die Umsetzung der EU-Richtlinie zur Netz- und Informationssystemsicherheit (NIS2) in Österreich erfolgt, ist noch offen. Als wahrscheinlich gilt laut Wirtschaftskammer Österreich ein Inkrafttreten der Regelungen im Jahr 2025. Die Deutschsprachige SAP-Anwendergruppe e. V. (DSAG) begrüßt NIS2 und hat zur Richtlinie bereits ein Positionspapier erstellt. [...]
„Cyberkriminalität stellt ein wachsendes Problem dar, auch für österreichische Unternehmen“, erklärt Walter Schinnerer, DSAG-Fachvorstand Österreich. „Deshalb sind Vorgaben, um das Sicherheitsniveau zu heben, unumgänglich. Für die Unternehmen bietet die Umsetzung von NIS2 die Chance, die eigenen IT-Infrastrukturen und -Prozesse auf den Prüfstand zu stellen und zu optimieren.“ Mit der neuen Richtlinie werden die aktuell geltenden Regelungen zur Cybersicherheit deutlich ausgeweitet und die Verpflichtungen erweitert. Derzeit betreffen sie rund 100 Unternehmen in Österreich – vorwiegend der kritischen Infrastruktur (SKI) und Anbieter digitaler Dienste.
Sobald die NIS2-Richtlinie in nationales Gesetz umgesetzt ist – in das Netz- und Informationssystemsicherheitsgesetz 2025, kurz NISG –, müssen rund 4.000 Unternehmen und Einrichtungen ab mittlerer Größe aus 18 festgelegten Sektoren bestimmte Sicherheitsmaßnahmen erbringen und Sicherheitsvorfälle melden. Verpflichtet werden außerdem Dienstleister und Lieferanten betroffener Einrichtungen. „Das bedeutet eine Mammutaufgabe, gerade für kleine Betriebe, die wenige Ressourcen haben“, so Schinnerer. „Umso wichtiger, dass sich die Unternehmen zeitnah mit den NIS2-Vorgaben auseinandersetzen.“ Dabei will die DSAG unterstützten.
Auch SAP in der Pflicht
Zu den Verpflichtungen, die NIS2 mit sich bringt, zählen sogenannte präventive Risikomanagementmaßnahmen. Das heißt, Unternehmen müssen z. B. Konzepte vorlegen, die zeigen, wie sie für die Sicherheit ihrer Informationssysteme sorgen sowie für die ihrer Lieferkette. Und sie müssen Maßnahmen vorweisen können, mit denen sie im Ernstfall ihren Betrieb aufrechterhalten. Damit Unternehmen diese und weitere Vorgaben für ihre IT-Infrastrukturen erfüllen können, ist auch SAP gefragt.
DSAG sieht konkret bei diesen Punkten Unterstützungsbedarf
- Guidelines zur Sicherheitsoptimierung: Unternehmen benötigen mehr denn je klare Richtlinien für IT-Sicherheit, die Entwicklungsstandards für SAP-Programme, Berechtigungsprüfungen sowie sichere Vergabe von Passwörtern und Benutzerrechten umfassen.
- Absicherung der Integrationsschnittstellen: Sicherheitsmaßnahmen wie die Absicherung von RFC-Verbindungen und die Einführung eines lückenlosen Monitorings über das SAP Gateway sind essenziell.
- Compliance und Governance für hybride SAP-Umgebungen: Hybride Architekturen erfordern ein umfassendes Berechtigungsmanagement, um SOD-Konflikte (Segregation of Duties) zu verhindern und Compliance-Anforderungen zu erfüllen.
Im Rahmen der Betriebsmodelle SAP RISE und SAP GROW ist künftig zudem anstelle des heutigen isolierten SAP-zentrischen Betriebsmodells eine starke Integration mit den ITSM-Prozessen, dem Business Continuity- und dem Notfallmanagement der Anwenderunternehmen sicherzustellen.
„Die Anforderungen, vor denen die Unternehmen mit NIS2 stehen, sind enorm“, resümiert Schinnerer. „Deshalb müssen sich SAP-Anwender auf einheitliche Sicherheitsstandards, die den Vorgaben von NIS2 und konkret denen der NIS-Behörde entsprechen, verlassen können sowie auf ein stringentes Release-Management des Software-Konzerns – sowohl On-Premises als auch in der Cloud.“
Wer sich für das NIS2.Positionspapier interessiert, findet das vollständige Dokument hier.
Be the first to comment