Alexander Zeppelzauer, Prokurist und Vertriebsleiter TÜV TRUST IT TÜV AUSTRIA GMBH
Die NIS-2-Richtlinie markiert einen bedeutenden Schritt zur Verbesserung der Cybersicherheit kritischer Infrastrukturen in Europa. In einem aufschlussreichen Interview erklärt Herr Zeppelzauer (Prokurist und Vertriebsleiter TÜV TRUST IT TÜV AUSTRIA GMBH), wie diese Erweiterung des ursprünglichen NIS-Gesetzes von 2016 nun auch kleinere Unternehmen in zusätzlichen Sektoren wie der Wasserversorgung und Lebensmittelversorgung erfasst. Unternehmen müssen eigenständig prüfen, ob sie betroffen sind, wobei ein hilfreiches Tool der Wirtschaftskammer zur Verfügung steht.
Die Einhaltung der NIS-2-Richtlinie ist entscheidend, da bei Nichteinhaltung Strafen drohen. Daher ist es unerlässlich, nachhaltige und gut durchdachte Sicherheitsmaßnahmen zu planen und umzusetzen, die sowohl IT- als auch physische Sicherheitsaspekte abdecken. Zutrittskontrollen und Sicherheitszonen spielen hierbei eine zentrale Rolle, um sicherzustellen, dass nur autorisiertes Personal Zugang zu sicherheitskritischen Bereichen erhält. Diese Maßnahmen sind entscheidend, um physische Sicherheitslücken zu schließen und eine umfassende Sicherheitsstrategie zu gewährleisten.
Eine der größten Herausforderungen besteht darin, das Bewusstsein für Cybersicherheit in allen Unternehmensbereichen zu stärken und eine umfassende Risikoanalyse durchzuführen. Herr Zeppelzauer empfiehlt dabei die Orientierung an anerkannten Normen wie ISO 27001 sowie regelmäßige Überprüfungen und Aktualisierungen der Sicherheitsvorkehrungen.
Die NIS-2-Richtlinie und die DSGVO ergänzen sich, da beide den Schutz von Daten in den Mittelpunkt stellen. Unternehmen müssen gut strukturierte Prozesse zur Datensicherung und IT-Sicherheit implementieren. Best Practices beinhalten eine sorgfältige Dokumentation, die Automatisierung von Notfallplänen und eine strukturierte Umsetzung der Compliance-Anforderungen. Audits und Zertifizierungen durch Institutionen wie den TÜV AUSTRIA spielen eine entscheidende Rolle bei der Sicherstellung der Konformität. Zudem bieten branchenspezifische Anforderungen und die Unterstützung durch Verbände wertvolle Hilfestellungen, um den besonderen Sicherheitsanforderungen gerecht zu werden.
Lesen Sie hier das gesamte Interview mit Alexander Zeppelzauer, um tiefere Einblicke in die Herausforderungen und Empfehlungen zur Umsetzung der NIS-2-Richtlinie zu erhalten:
1. Können Sie kurz erläutern, was die NIS-2-Richtlinie ist?
Die NIS-2-Richtlinie ist eine Erweiterung des ursprünglichen NIS-Gesetzes von 2016, das darauf abzielte, die Cybersicherheit kritischer Infrastrukturen zu verbessern. Das ursprüngliche Gesetz definierte eine Reihe von Sektoren, die bestimmte Cybersecurity-Maßnahmen umsetzen mussten, darunter Energie, Transport, Bankwesen, Gesundheitswesen und Wasserversorgung. Die NIS-2-Richtlinie erweitert diesen Kreis und schließt nun auch zusätzliche Sektoren ein. Betroffen sind Unternehmen, die gewisse Schwellenwerte hinsichtlich Mitarbeiterzahl, Jahresumsatz und Art der Dienstleistungen erreichen. Beispielsweise sind nun auch kleinere Wasserversorger und Lebensmittelversorgungsunternehmen betroffen, um die Versorgungssicherheit zu gewährleisten. Ziel ist es, sicherzustellen, dass auch kleinere, aber dennoch kritische Infrastrukturen vor Cyberangriffen geschützt sind.
2. Aber wie weiß ich als Unternehmen, dass ich betroffen bin? Werde ich informiert?
Unternehmen werden nicht automatisch darüber informiert, ob sie von der NIS-2-Richtlinie betroffen sind. Es liegt in der Verantwortung der Unternehmen selbst, dies zu prüfen. Die Wirtschaftskammer bietet hierzu ein Selbsteinschätzungstool an. Unternehmen können sich anhand dieses Tools selbst einschätzen und herausfinden, ob sie unter die Richtlinie fallen. Es wird geschätzt, dass zwischen 2.500 und 3.000 Unternehmen in Österreich betroffen sind, im Vergleich zu etwa 200 Unternehmen unter der NIS-1-Richtlinie. Wir empfehlen jedoch jedem Unternehmen proaktive Maßnahmen zu ergreifen, um sich gegen Cyberangriffe zu schützen.
3. Was passiert mit Unternehmen, die die Anforderungen nicht erfüllen? Gibt es eine Nachfrist?
Derzeit ist es noch nicht vollständig geklärt, wie mit Unternehmen verfahren wird, die die Anforderungen der NIS-2-Richtlinie nicht erfüllen, da das Gesetz noch in der Begutachtungsphase ist. Aus den bisherigen öffentlich verfügbaren Informationen geht hervor, dass es keine strikte Auditpflicht geben wird. Stattdessen können Unternehmen bei Bedarf auditiert oder inspiziert werden, insbesondere nach einem Cybervorfall. Sollte ein Unternehmen keine angemessenen Maßnahmen getroffen haben, können Strafen verhängt werden. Es wird dringend empfohlen, sich genügend Zeit zu nehmen, um die erforderlichen Maßnahmen gründlich und langfristig zu planen und umzusetzen. Eine übereilte Umsetzung kann ineffizient und kostspielig sein. Unternehmen sollten daher eine nachhaltige Strategie entwickeln, um den neuen Anforderungen gerecht zu werden und gleichzeitig Kosten zu sparen.
4. Welche Rolle spielen physische Sicherheitsmanagementlösungen bei der Erfüllung der NIS-2-Anforderungen für den Schutz kritischer Infrastrukturen?
Die NIS-2-Richtlinie stellt nicht nur Anforderungen an die IT-Sicherheit, sondern umfasst auch umfassende physische Sicherheitsmaßnahmen für das gesamte Unternehmen. Diese physischen Sicherheitslösungen sind entscheidend, um kritische Infrastrukturen zu schützen. Ein wesentlicher Bestandteil physischer Sicherheit ist die Zutrittskontrolle. Diese sollte genau geregelt sein und nur autorisiertem Personal den Zugang zu sicherheitskritischen Bereichen, wie Leitstellen oder Rechenzentren, ermöglichen. Der Zugang muss dokumentiert und überwacht werden, um sicherzustellen, dass keine unbefugten Personen Zutritt erhalten.
Ein weiteres wichtiges Element ist das Zonenkonzept. Unternehmen sollten unterschiedliche Sicherheitszonen einrichten, in denen verschiedene Sicherheitsstufen gelten. Kritische Bereiche erfordern strengere Maßnahmen, und der Zugang sollte auf eine ausgewählte Anzahl von Personen beschränkt sein. Diese Maßnahmen helfen dabei, die physische Sicherheit zu gewährleisten und potenzielle Sicherheitslücken zu schließen. Die Verbindung zur ISO 27001, einer Norm für Informationssicherheitsmanagement-Systeme, ist ebenfalls wichtig. Unternehmen, die die Anforderungen dieser Norm erfüllen, sind in der Regel besser aufgestellt, um auch die Anforderungen der NIS-2-Richtlinie zu erfüllen. Die Integration physischer Sicherheitsmaßnahmen in das Informationssicherheitsmanagement-System trägt zu einem umfassenden Schutz kritischer Infrastrukturen bei.
5. Welche Herausforderungen sehen Sie für Unternehmen bei der Umsetzung der NIS-2-Richtlinie und wie können diese bewältigt werden?
Eine der größten Herausforderungen besteht darin, das Bewusstsein und die Dringlichkeit für Cybersecurity-Maßnahmen zu schaffen. Oft haben IT-Mitarbeiter ein gutes Gespür für Bedrohungen und die Notwendigkeit von Sicherheitsmaßnahmen, aber andere Abteilungen unterschätzen häufig die Risiken, besonders wenn bisher keine Vorfälle aufgetreten sind. Hier ist es wichtig, dass die Geschäftsführung proaktiv die Verantwortung übernimmt und Cybersecurity als wesentlichen Bestandteil des Unternehmens betrachtet.
Zudem gibt es kaufmännische und technische Herausforderungen. Unternehmen müssen eine Risikoanalyse durchführen, um zu bewerten, welche Maßnahmen erforderlich und finanzierbar sind. Dies umfasst sowohl IT und auch das gesame Unternehmen und damit auch physische Sicherheitsmaßnahmen. Ein ausgewogener Ansatz ist erforderlich, um die Sicherheitsbedürfnisse zu erfüllen, ohne das Budget zu sprengen. Zum Beispiel kann ein Unternehmen entscheiden, ob einfache mechanische Schlösser ausreichen oder ob komplexere Zutrittskontrollsysteme notwendig sind. Diese Entscheidungen sollten auf einer fundierten Risikoanalyse basieren, die sowohl die Kosten als auch die potenziellen Bedrohungen berücksichtigt.
Ein weiterer wichtiger Aspekt ist die Implementierung und regelmäßige Überprüfung der Sicherheitsmaßnahmen. Unternehmen müssen sicherstellen, dass sie über die notwendige Infrastruktur und das Know-how verfügen, um die Anforderungen der NIS-2-Richtlinie zu erfüllen. Dies kann Schulungen für Mitarbeiter, regelmäßige Sicherheitsaudits und die Zusammenarbeit mit externen Sicherheitsexperten umfassen.
6. Wie können Unternehmen sicherstellen, dass ihre Sicherheitsmaßnahmen stets auf dem neuesten Stand der Technik sind, wie es NIS-2 vorschreibt?
Unternehmen sollten kontinuierlich in Technologien und Produkte investieren, die im täglichen Wirtschaftsleben erprobt und etabliert sind. Dies umfasst die regelmäßige Aktualisierung von Software mit Security-Patches und Updates für jegliche IT-Systeme. Unternehmen sollten sicherstellen, dass sie immer die neuesten Versionen von Sicherheitssoftware verwenden und bekannte Sicherheitslücken schnell schließen.Bei physischen Sicherheitslösungen bedeutet dies, dass einfache mechanische Schlösser möglicherweise nicht mehr ausreichen. Stattdessen könnten modernere Technologien erforderlich sein.
Es ist jedoch wichtig, eine Balance zwischen den Kosten und dem Nutzen dieser Technologien zu finden. Unternehmen brauchen nicht versuchen, ständig die neuesten und teuersten Technologien zu implementieren, da dies zu hohen Kosten führen kann. Stattdessen sollten sie einen aktuellen Wartungsstand aufrechterhalten und gut strukturierte Prozesse implementieren, um sicherzustellen, dass die Sicherheitsmaßnahmen stets auf einem hohen Niveau sind. Ein regelmäßiger Überprüfungs- und Aktualisierungsprozess kann dazu beitragen, dass die Sicherheitsmaßnahmen stets den aktuellen Bedrohungen angepasst sind.
7. Welche Rolle spielt die DSGVO im Kontext der NIS-2-Richtlinie und wie können Unternehmen Datenschutz und Sicherheit in Einklang bringen?
Die Datenschutz-Grundverordnung (DSGVO) stellt bereits hohe Anforderungen an den Umgang mit personenbezogenen Daten, insbesondere in sensiblenBereichen wie dem Gesundheitswesen. Unternehmen müssen sicherstellen, dass sie robuste Konzepte zum Schutz dieser Daten haben. Dies beinhaltet sowohl technische als auch organisatorische Maßnahmen. Gute Softwarelösungen und klare Prozesse zur Datenverwaltung sind unerlässlich, um den Datenschutz und die Sicherheit zu gewährleisten und die gesetzlichen Vorgaben zu erfüllen.
Die DSGVO und die NIS-2-Richtlinie ergänzen sich in vielerlei Hinsicht, da beide darauf abzielen, die Sicherheit und den Schutz von Daten zu gewährleisten. Unternehmen müssen sicherstellen, dass sie sowohl die Anforderungen der DSGVO als auch der NIS-2-Richtlinie erfüllen. Dies bedeutet, dass sie Maßnahmen zur Sicherung personenbezogener Daten implementieren und gleichzeitig sicherstellen müssen, dass ihre IT- und auch physischen Sicherheitssysteme den Standards entsprechen.
8. Gibt es Best Practices oder Empfehlungen, die Sie Unternehmen geben können, um den Prozess der NIS-2-Compliance zu optimieren?
Wir empfehlen Unternehmen, sich an zwei großen technischen Normen zu orientieren: ISO 27001 für die IT-Sicherheit und IEC 62443 für die Produktion. Diese Normen bieten klare Richtlinien, um die Anforderungen der NIS-2-Richtlinie großteils zu erfüllen. Ergänzend sollten Datenschutzvorgaben berücksichtigt werden. Eine Best Practice ist die strukturierte Dokumentation aller Prozesse und Sicherheitsmaßnahmen. Viele Unternehmen wissen, was zu tun ist, haben jedoch Schwierigkeiten, dies nachvollziehbar zu dokumentieren. Wir unterstützen Unternehmen dabei, diese Dokumentationen zu erstellen, Schulungen durchzuführen und alle Informationen so zu organisieren, dass jeder Mitarbeiter darauf zugreifen kann und weiß, was im Ernstfall zu tun ist.
Ein weiterer wichtiger Punkt sind Notfallpläne und Maßnahmen, die regelmäßig geübt werden sollten. Diese Pläne sollten nicht nur theoretisch existieren, sondern praktisch und gemeinsam im Team umgesetzt werden. Unsere Aufgabe als TÜV AUSTRIA ist es, Unternehmen dabei zu unterstützen, diese Strukturen zu entwickeln und in die Praxis umzusetzen. Zusätzlich gibt es sektorspezifische Anforderungen, die auf allgemeinen Standards basieren. Ein Wasserwerk hat beispielsweise andere Sicherheitsanforderungen als ein Logistikunternehmen. Unsere Erfahrung aus vielen Projekten hilft uns, die richtigen Best Practices zu identifizieren und umzusetzen.
Projekte zur Umsetzung der NIS-2-Compliance dauern in der Regel sechs bis zwölf Monate. Die genaue Dauer hängt von der Größe und den spezifischen Anforderungen des Unternehmens ab. Wir empfehlen Unternehmen, frühzeitig Unterstützung zu suchen, um die NIS-2-Anforderungen effizient zu erfüllen. Eine enge Zusammenarbeit und der Austausch von Wissen sind entscheidend, damit Unternehmen die Compliance nicht nur erreichen, sondern auch langfristig aufrechterhalten können.
9. Welche Rolle spielen Audits, Zertifizierungen und die Zusammenarbeit mit Prüfstellen wie dem TÜV AUSTRIA bei der Sicherstellung der NIS-2-Konformität?
Der TÜV AUSTRIA GMBH ist eine qualifizierte Stelle für NIS-Audits und bringt umfassende Erfahrung und technisches Wissen ein. Unternehmen profitieren von dieser Expertise, die alle Bereiche von Software- und Hardwareprüfungen bis hin zu spezifischen Anforderungen für Industrieanlagen abdeckt. Die Zusammenarbeit mit Prüfstellen wie dem TÜV AUSTRIA hilft Unternehmen, ihre Sicherheitsmaßnahmen zu evaluieren, zu verbessern und sicherzustellen, dass sie den gesetzlichen Anforderungen entsprechen. Dies umfasst auch Schulungen und die Vermittlung von Best Practices.
Audits und Zertifizierungen spielen eine wichtige Rolle bei der Sicherstellung der NIS-2-Konformität. Durch regelmäßige Audits können Unternehmen sicherstellen, dass ihre Sicherheitsmaßnahmen den aktuellen Standards entsprechen und mögliche Schwachstellen identifiziert und behoben werden. Zertifizierungen wie ISO 27001 bieten zusätzlich eine formelle Bestätigung, dass ein Unternehmen die erforderlichen Sicherheitsstandards erfüllt.
Die Zusammenarbeit mit Prüfstellen wie dem TÜV AUSTRIA bietet Unternehmen die Möglichkeit, von der Erfahrung und dem Fachwissen externer Experten zu profitieren. Der TÜV AUSTRIA kann Unternehmen bei der Implementierung und Überprüfung ihrer Sicherheitsmaßnahmen unterstützen und sicherstellen, dass diese den höchsten Standards entsprechen. Dies umfasst auch die Durchführung von Schulungen und Workshops, um das Bewusstsein und die Fähigkeiten der Mitarbeiter zu verbessern.
10. Inwiefern unterscheiden sich die Anforderungen der NIS-2-Richtlinie für verschiedene Branchen und Sektoren kritischer Infrastrukturen? Gibt es spezifische Herausforderungen für bestimmte Industrien?
Die Anforderungen der NIS-2-Richtlinie variieren je nach Branche und Sektor. Branchen wie die Energiewirtschaft oder Wasserwirtschaft haben spezifische Anforderungen, die oft in gemeinsamen Rahmenwerken erarbeitet werden. Diese branchenspezifischen Ausprägungen helfen Unternehmen, die speziellen Sicherheitsanforderungen ihrer Industrie zu erfüllen. Es gibt auch Unterstützung von Branchenverbänden und Kammern, die spezifische Leitlinien und Empfehlungen bereitstellen.
Für verschiedene Sektoren gibt es spezifische Herausforderungen. Beispielsweise haben Energieerzeuger und Wasserversorger andere Sicherheitsanforderungen als Logistikunternehmen oder Unternehmen der Lebensmittelversorgung. In der Energiewirtschaft müssen Unternehmen möglicherweise spezielle Schutzmaßnahmen gegen physische Angriffe oder Sabotage implementieren, während Unternehmen der Lebensmittelversorgung sicherstellen müssen, dass ihre Lieferketten vor Cyberangriffen geschützt sind.
Ein weiterer Aspekt ist die Einhaltung branchenspezifischer Regulierungen und Standards. Unternehmen sollten sich an den spezifischen Anforderungen ihrer Branche orientieren und sicherstellen, dass sie alle relevanten Regulierungen und Standards einhalten. Dies kann durch die Zusammenarbeit mit Branchenverbänden und die Teilnahme an branchenspezifischen Schulungen und Workshops erreicht werden.
Fazit
Dieses Interview bietet wertvolle Einblicke in die Komplexität und Dringlichkeit der NIS-2-Richtlinie. Alexander Zeppelzauer hat nicht nur die erweiterten Anforderungen und deren Auswirkungen auf Unternehmen verdeutlicht, sondern auch praktische Empfehlungen gegeben, wie diese neuen Herausforderungen gemeistert werden können. Die Integration von IT- und physischen Sicherheitsmaßnahmen, das Bewusstsein für Cybersicherheit in allen Unternehmensbereichen und die Orientierung an bewährten Normen wie ISO 27001 sind entscheidende Schritte, um sich gegen Cyberbedrohungen zu wappnen.
Es ist klar, dass die NIS-2-Richtlinie nicht nur eine gesetzliche Verpflichtung darstellt, sondern auch eine Chance bietet, die Sicherheit und Resilienz unserer kritischen Infrastrukturen nachhaltig zu stärken. Unternehmen, die proaktiv handeln und die empfohlenen Maßnahmen umsetzen, werden nicht nur den gesetzlichen Anforderungen gerecht, sondern sichern auch langfristig ihre Betriebsfähigkeit und ihren Ruf.
Wir danken Herrn Zeppelzauer für seine umfassenden und praxisnahen Einblicke. Nutzen Sie diese wertvollen Informationen, um Ihr Unternehmen auf die Anforderungen der NIS-2-Richtlinie vorzubereiten und somit einen entscheidenden Beitrag zur Cybersicherheit in Europa zu leisten.
