Cybersecurity : Cybersicherheit: Sind Sie NIS-2-ready?

Seit vielen Jahren steht die kritische Infrastruktur im Zentrum sicherheitstechnischer Überlegungen der EU. Die sogenannten NIS-Richtlinien fokussieren insbesondere auf die Absicherung der Cybersicherheit.

Doch Vorsicht: Nicht nur Unternehmen der kritischen Infrastruktur sind betroffen, auch ihre Lieferanten und Geschäftspartner stehen unter Zugzwang.
Warum? Weil sie schon durch die Geschäftsbeziehung per se und ganz besonders durch IT-Schnittstellen und Anbindungen ein potenzielles IT-Sicherheitsrisiko darstellen. Schließlich werden über digitale Verbindungen Viren, Malware oder Ähnliches rasch übertragen, wie der jährliche CyberRisk Report der KSV1870 Nimbusec GmbH zeigt.

Der Nachweis der eigenen Cybersicherheit sollte heuer auf der unternehmerischen Agenda ganz oben stehen. Der Grund dafür heißt NIS2. Ziel dieser Richtlinie ist es, ein höheres Sicherheitsniveau von Netz- und Informationssystemen in der gesamten EU zu schaffen.
Zwar ist die NIS-2-Richtlinie bereits seit Jänner 2023 in Kraft, bis zum 17. Oktober 2024 soll sie von den Mitgliedsstaaten umgesetzt werden. Ab diesem Zeitpunkt gelten für viele Unternehmen konkrete Mindeststandards für Cybersicherheit und Meldepflichten bei Sicherheitsvorfällen.

Wer also mit der kritischen Infrastruktur weiterhin Geschäfte machen möchte, sollte besser einen Beleg für die eigene Cybersicherheit in Händen halten. Andernfalls drohen Umsatzeinbußen und der Verlust von Kundenbeziehungen.

Was Unternehmen benötigen, ist ein Nachweis ihrer Cybersicherheit von externer Seite. Es gibt eine Reihe von Lösungen auf dem Markt, unter anderem eine ISO-Zertifizierung. Das CyberRisk Rating by KSV1870 ist vergleichsweise günstig und hat den Vorteil, dass es von Behörden anerkannt ist.

Es orientiert sich an den Vorgaben der österreichischen Aufsichtsbehörden und basiert auf dem CyberRisk Schema des Kompetenzzentrum Sicheres Österreich. Dessen Kern ist ein Katalog mit 25 Fragen, die auch bei der Erstellung eines CyberRisk Ratings zur Anwendung kommen. Hinter diesem Rating steht ein standardisiertes System, um Anforderungen des NIS-Gesetzes und der DSGVO für Lieferanten zu erfüllen.

Es gibt die Wahl zwischen A+, A und B. Unternehmen mit einem B-Rating müssen nur 14 der 25 Anforderungen bzw. Fragen erfüllen, um einen Sicherheitsnachweis für weniger risikoreiche Tätigkeiten oder KMU zu bestehen.
Das bedeutet, dass eine Organisation ein grundlegendes Schutzniveau einhält. Im Idealfall hält das Unternehmen alle 25 Anforderungen ein und weist ein außergewöhnlich hohes Schutzniveau auf. Das Rating A+ gilt als Königsklasse. Damit wird das hohe Sicherheitslevel sogar durch ein unabhängiges Audit bestätigt.

Für Unternehmen der kritischen Infrastruktur oder jene Betriebe, die sehr viele Lieferanten haben, lohnt sich die Einrichtung unseres CyberRisk Managers. Es handelt sich um eine Plattform, in der die eigenen Lieferanten geführt werden und alle aktuellen Nachweise (auch von anderen Anbietern) hinterlegt sind. Das Unternehmen kann seine Lieferanten direkt kontaktieren, um sie zur Beauftragung eines CyberRisk Ratings einzuladen.

Unternehmen sind gut beraten, genügend Vorlauf einzuplanen. Denn vieles ist zu dokumentieren, eine Analyse der IT-Systeme ist zu bestehen und gegebenenfalls müssen Verbesserungen durchgeführt werden, um allen Anforderungen gerecht zu werden.

Zudem geht es nicht darum, einfach nur ein weiteres Zertifikat zu sammeln, sondern das Thema birgt die Chance, dass sich Unternehmen weiterentwickeln, besser und sicherer werden.