Es ist nur eine Frage der Zeit, bis die EU-Verordnung NIS2 in eine nationale Richtlinie gegossen wird. Damit der Einstieg möglichst reibungslos über die Bühne geht, können steirische Unternehmen von Förderungen und umfassender Beratung profitieren. Dominic Neumann, Obmann der Fachgruppe UBIT Steiermark, im Interview. [...]
Wie bewerten Sie die aktuellen Herausforderungen bei der Umsetzung von NIS2 und welche Schritte sollten Unternehmen jetzt ergreifen, um sich vorzubereiten?
Die EU hatte vorgesehen, die NIS2-Richtlinie bis zum 18. Oktober 2024 in nationales Recht umzusetzen. Tatsächlich hat bisher jedoch kaum ein europäischer Staat diese Vorgabe erfüllt. Wir rechnen damit, dass entsprechende Gesetze Ende des zweiten Quartals vorliegen werden. Das Hauptproblem liegt derzeit nicht nur in der fehlenden gesetzlichen Grundlage, sondern auch darin, dass viele Unternehmen nicht wissen, ob und in welchem Umfang sie von NIS2 betroffen sind. Um hier Aufklärung zu schaffen, setzen wir verstärkt auf Informationskampagnen.
In der Steiermark gibt es beispielsweise eine Förderung von bis zu 50 Prozent der Umsetzungskosten, maximal 15.000 Euro. Aus unserer Erfahrung bewegen sich die Gesamtkosten einer vollständigen Anpassung an die NIS2-Vorgaben zwischen 30.000 und 50.000 Euro. Die genaue Höhe hängt davon ab, wie gut ein Unternehmen bereits aufgestellt ist.
Bemerken Sie auf Unternehmensseite eine Unsicherheit beim Thema NIS2?
Die Unsicherheit liegt derzeit weniger bei den Unternehmen selbst als vielmehr bei den Beratern. Da wir immer wieder neue Informationen erhalten, ist es schwierig, eine Beratung anzubieten, die alle künftigen Anforderungen präzise abdeckt. ISO 27001 bietet zwar einen umfassenden Rahmen für Informationssicherheit, soll aber laut bisherigen Erkenntnissen allein nicht ausreichen, um NIS2 vollständig zu erfüllen.
Aktuell empfehlen wir Unternehmen, eine erste Einschätzung vornehmen zu lassen, um zu prüfen, ob sie unter die Richtlinie fallen. Als grobe Richtwerte gelten mindestens 50 Mitarbeiter oder ein Jahresumsatz von 10 Millionen Euro. In der Zwischenzeit arbeiten wir auf Basis der ISO 27001, da diese viele Anforderungen bereits abdeckt.
Für österreichische Unternehmen ist die aktuelle Verzögerung eine Chance: Sie haben noch ein halbes bis dreiviertel Jahr Zeit, um sich auf die Umsetzung konzentrieren zu können. Es ist klar, dass die EU-Vorgabe verbindlich ist und nationale Regelungen folgen werden. Unternehmen sollten diese Zeit nutzen, um ihre Sicherheitsmaßnahmen zu überprüfen und gegebenenfalls anzupassen.
Wie viel Zeit sollten Unternehmen realistischerweise für die Umsetzung von NIS2 einplanen?
Ein realistischer Zeitrahmen für die Umsetzung der NIS2-Vorgaben liegt zwischen sechs Monaten und einem Jahr. Erste Beratungen zeigen, dass Unternehmen mit mittelmäßigem Vorbereitungsstand – etwa solchen, die bereits grundlegende Prozesse definiert haben – meist mindestens ein halbes Jahr benötigen. Dabei geht es primär um die Absicherung und Dokumentation von Prozessen, weniger um Technologie. Diese Konzentration auf Prozesssicherheit gilt sowohl für NIS2 als auch für Standards wie die ISO 27001-Zertifizierung.
Wichtig ist, dass Unternehmen verstehen, dass die Umsetzung nicht allein durch externe Berater erfolgen kann. Während Berater bei der Ausformulierung und Strukturierung der Prozesse unterstützen, muss die grundlegende Definition dieser Abläufe vom Unternehmen selbst kommen. Hier sind interne Ressourcen gefragt, was oft unterschätzt wird. Unternehmen müssen Zeit und Mitarbeiterkapazitäten bereitstellen, was die Umsetzung verzögern kann – insbesondere, wenn interne Termine verschoben werden oder andere Prioritäten dazwischenkommen.
Daher gilt: Unter optimalen Bedingungen ist eine Umsetzung in sechs Monaten möglich. Häufiger wird jedoch ein Zeitraum von etwa einem Jahr benötigt, um alle Anforderungen vollständig zu erfüllen.
Welche personellen Anforderungen und internen Ressourcen müssen Unternehmen einkalkulieren?
Während Berater das notwendige Fachwissen und die methodische Begleitung einbringen, ist die aktive Mitarbeit der Unternehmen unerlässlich – insbesondere, wenn es um die Definition und Etablierung von Prozessen geht. Ein seriöser Berater wird von Beginn an darauf hinweisen, dass die Umsetzung nur gelingt, wenn Unternehmen ausreichend interne Ressourcen bereitstellen. Unsere Erfahrung zeigt, dass der Zeitaufwand für Berater und Unternehmen ungefähr gleich verteilt ist.
Ein weiterer kritischer Punkt ist die interne Organisation. Projekte dieser Art funktionieren nur, wenn eine zentrale Ansprechperson im Unternehmen definiert wird. Sobald mehrere Ansprechpartner eingebunden sind, kann das Projekt leicht scheitern. Deshalb starten wir erst, wenn klar ist, wer diese Rolle übernimmt. Unternehmen müssen sich zudem der Tatsache bewusst sein, dass diese Person für die Dauer des Projekts – oft mehrere Monate – nur eingeschränkt für andere Aufgaben zur Verfügung steht.
Welche Strategien verfolgen Sie aktuell, um Unternehmen über NIS2 und entsprechende Fördermöglichkeiten zu informieren?
Um Unternehmen für die Anforderungen von NIS2 zu sensibilisieren und gleichzeitig auf die Fördermöglichkeiten hinzuweisen, setzen wir auf eine Kombination aus Informationskampagnen und direktem Austausch. Gemeinsam mit der Steirischen Forschungsgesellschaft (SFG) haben wir eine spezielle Förderaktion ins Leben gerufen, die am 1. Jänner gestartet ist. Die Inhalte werden abgestimmt in den Newslettern der SFG und der UBIT verbreitet, um eine möglichst breite Zielgruppe zu erreichen.
Zudem führen wir eine umfassende Roadshow durch alle Bezirke der Steiermark durch. Diese Veranstaltungsreihe, die von Murau bis Leibnitz reicht, ermöglicht es uns, direkt vor Ort mit Unternehmern ins Gespräch zu kommen. Der Abschluss der Kampagne findet in Graz statt, wo wir die Region Graz und Umgebung gemeinsam adressieren.
Ein zentraler Aspekt unserer Bemühungen ist es, Unternehmen ein niederschwelliges Angebot zu machen. Beispielsweise können sie mit einer kurzen Erstberatung klären lassen, ob sie überhaupt von den NIS2-Vorgaben betroffen sind. Dieses Vorgehen hilft, Unsicherheiten abzubauen und den Einstieg in das Thema zu erleichtern.
Wo liegen derzeit die größten Risiken und Herausforderungen im Bereich der Informationssicherheit?
Technisch hat sich die Situation in den letzten Jahren deutlich verbessert. Betriebssysteme sind sicherer geworden, Hardware wie Firewalls ist leistungsfähiger und kostengünstiger, und Unternehmen haben besseren Zugang zu Sicherheitslösungen. Diese Entwicklungen tragen dazu bei, dass lokale Netzwerke besser abgeschirmt sind und grundlegende Sicherheitsstandards leichter umzusetzen sind. Dennoch bleibt die Gefahr durch Malware und Spyware bestehen – insbesondere dann, wenn regelmäßige Updates, Scans und Protokollauswertungen vernachlässigt werden. Das größere Risiko liegt jedoch oft bei den Mitarbeitern. Phishing-Angriffe, bei denen sensible Zugangsdaten preisgegeben werden, sind weiterhin eine der häufigsten Ursachen für Sicherheitsvorfälle. Selbst mit modernster Technik können diese Gefahren nur durch gezielte Schulungen und ein erhöhtes Bewusstsein der Belegschaft minimiert werden.
Ein weiteres Problem ist, dass viele Unternehmen noch immer keine durchgängige Prozesssicherheit implementiert haben. Hier greift die Parallele zur DSGVO: Ähnlich wie diese einst Unternehmen dazu zwang, sich erstmals intensiv mit ihren Daten und deren Schutz auseinanderzusetzen, ist NIS2 ein weiterer Schritt in Richtung einer bewussteren und strukturierten Herangehensweise an Sicherheitsthemen.
Um das bestmögliche Schutzniveau zu erreichen, müssen Technik und Prozesssicherheit Hand in Hand gehen. Technologische Lösungen schaffen die Grundlage, aber die Absicherung der Arbeitsabläufe und das Bewusstsein der Mitarbeiter sind die Schlüssel, um langfristig vor Sicherheitsvorfällen geschützt zu sein.
Be the first to comment