Die Lieferketteneffekte von NIS2 werden ein großer Multiplikator bei der Zahl der betroffenen Unternehmen sein. ITWelt.at sprach darüber mit Dominic Neumann, Unternehmensberater für IKT sowie Fachgruppenobmann UBIT und Spartenobmann Stellvertreter Information & Consulting der WKO Steiermark. [...]
Gibt es Schätzungen, wie viele steirische Unternehmen von NIS2 betroffen sind?
Gibt es noch nicht. Man kann lediglich von der Schätzung der deutschen Zahlen ausgehend auf die Bevölkerungsgröße bzw. die Anzahl der Unternehmen und die wirtschaftliche Leistung herunterrechnen – siehe zum Beispiel das deutsche Bundesamt für Sicherheit in der Informationstechnik 2024 – dann wären in der Steiermark knapp 540 Unternehmen betroffen. Diese Zahlen sind allerdings äußerst weit hergeholt, ich würde damit also nicht rechnen.
Kann man eine generelle Aussage treffen, etwa auf Basis von Gesprächen und Anfragen, wie weit Unternehmen in der Umsetzung sind?
Da es auf nationaler Ebene noch keine gesetzliche Umsetzung der Richtlinie gibt, kann man auch dazu noch keine Aussagen treffen. Das Gesetz kann nur die neue Regierung umsetzen, wird wohl noch ein bisschen dauern.
Was sind – auf Basis bisheriger Erfahrung – die größten Herausforderungen bei der Umsetzung?
Meist wird bei Unternehmen zu Beginn der Zeitrahmen sowie Budget und personelle Ressourcen (stark) unterschätzt. Externe Berater können da von Anfang an unterstützen und den gesamten Prozess der NIS2-Einführung begleiten.
Was sind aus Ihrer Sicht die wichtigsten Vorteile von NIS2?
NIS2 erhöht die Informationssicherheit innerhalb der EU. Das ist auch wichtig, da die EU sonst weiterhin von den USA und China „ausgeraubt“ wird.
Was vermissen Sie bei NIS2?
Das ist jetzt noch schwer zu sagen. Es gibt ja in Österreich noch keine Richtline für NIS2.
Wird NIS2 vor allem als technische oder als organisatorische Herausforderungen gesehen?
Ich denke schon, dass es mehr an der organisatorischen Herausforderungen liegt. Die damit bedingte technische Umsetzung braucht aber natürlich einiges an internen oder externen Ressourcen.
Welche Auswirkungen wird aus Ihrer Sicht NIS2 auf die Player einer Lieferkette haben?
Die Lieferketteneffekten von NIS2 werden wahrscheinlich ein großer Multiplikator in der Zahl der betroffenen Unternehmen sein. Unternehmen, die direkt von NIS2 betroffen sind, werden ihre Geschäftspartner beziehungsweise vor allem Lieferanten vertraglich zur NIS2-Compliance verpflichten, soweit das Gesetz nicht sowieso direkt auf die Lieferkette abzielt.
Was raten Sie diesen kleineren, de jure nicht betroffenen Lieferanten sicherheitstechnisch, um nicht ihre Wettbewerbsfähigkeit zu beeinträchtigen?
Sie sollten sich auch an den NIS2-Standard anpassen.
Welche Rolle bei der NIS2-Umsetzung spielt aus Ihrer Sicht die ISO 27001-Zertifizierung?
Eine ISO27001-Zertifizierung ist schon mal eine sehr gute Basis zur NIS2-Konformität. Die NIS2-Richtlinie von der EU sieht aber noch zusätzliche Punkte vor, die umgesetzt werden müssen.
Wie beurteilen Sie generell das IT-Sicherheits-Niveau bei steirischen Unternehmen?
Ich denke, das ist in ganz Österreich ähnlich. Die „Großen“ sind schon sehr weit. Es gibt österreichweit knapp 200 auf ISO27001 zertifizierte Unternehmen.
Bei KMUs und EPUs sieht es da schon ganz anders aus. Natürlich gibt es zahlreiche mittelständische Unternehmen, die auch schon sehr weit im Bereich der Informationssicherheit sind. Je kleiner die Unternehmen sind, desto weiter geht es mit der Informationssicherheit nach unten. Einige davon werden sich aber auch NIS2 zertifizieren müssen. Das bedeutet viel Arbeit für die betroffenen Unternehmen. Da sollte unbedingt auf einen externen Berater zugegriffen werden.
Wo sehen Sie die derzeit größten Bedrohungen?
Es herrscht Cyberwar zwischen den Ost- und West-Staaten. Cybercrime kann aber jeden treffen, dahinter stehen professionelle Hacker. Am Beispiel vom Land Kärnten sieht man, wie schnell es gehen kann, dass die Daten verschlüsselt sind. Viele Unternehmen zahlen Lösegeld für ihre Daten. In den Medien ist nur ein Bruchteil der tatsächlichen Cyberangriffe präsent. Weltweit wird mit Cybercrime mittlerweile mehr Umsatz erzielt als mit Waffen- und Drogenhandel zusammen.
Was unternimmt die UBIT Steiermark, um das allgemeine Sicherheits-Niveau im B2B-Bereich zu heben? Gibt es derzeit oder geplant spezielle Maßnahmen, Veranstaltung etc.?
Die Fachgruppe UBIT Steiermark unterstützt ihre Mitglieder mit Informationsveranstaltungen rund um Themata wie Cybersecurity, zur Zeit vor allem auch zum Thema NIS2. Wichtige Informationen veröffentlichen wir auch wöchentlich im Rahmen unseres Newsletters.
Be the first to comment