NIS-2 und die Zukunft der Cybersecurity: Was Sie jetzt wissen müssen.
Beim 30. qualityaustria Forum im März 2025 wurden aktuelle regulatorische Herausforderungen Expert*innen verschiedenster Branchen beleuchtet. CEO der CIS, Harald Erkinger, zeigte Wege durch das aktuelle NIS-2 Labyrinth. Denn für Unternehmen stehen derzeit Cybersecurity und die Zukunft mit NIS-2 im Zentrum zahlreicher Überlegungen.
Die Digitalisierung schreitet zügig voran und damit auch die Herausforderungen für viele Unternehmen: Cyberkriminalität und neue Richtlinien wie NIS-2 beschäftigen uns maßgeblich. Für viele Unternehmen ist NIS-2 allerdings noch mit viel Unklarheit verbunden. Harald Erkinger, CEO der CIS - Certification & Information Security Services GmbH, startete seinen Vortrag über NIS-2 mit einer wichtigen Frage: Nämlich, wer von den rund 400 Besucher*innen unter die Richtlinie fällt. Rund 30% der Anwesenden waren sich dessen sicher, während nur 10% die Frage klar verneinten – für viele Teilnehmende diverser Branchen ist also derzeit noch offen, ob sie überhaupt unter die Richtlinie fallen. Hier erfahren Sie, ob Ihr Unternehmen betroffen ist.
Betroffenheit: Was sind „wesentliche“ und „wichtige“ Einrichtungen?
Es wird in zwei zentrale Sektoren in 18 verschiedenen Branchen unterschieden. Der wichtigste Unterschied zwischen den beiden Sektoren betreffend NIS-2 Prüfung: Bei wesentlichen Einrichtungen wird ex-ante (vorab) regelmäßig und gezielt geprüft, bei wichtigen Sektoren hingegen ex-post (nachträglich) bei Anlassfall oder Verdacht geprüft.
NIS-2: Gekommen, um zu bleiben
Tatsache ist jedenfalls, dass NIS-2 trotz noch ausständiger Gesetzgebung auf österreichische Unternehmen zukommt. Die neue Regierung legt einen klaren Fokus auf die Themen Cybersicherheit, Resilienz und NIS-2. Die Umsetzung der Richtlinie erfordert allerdings Zeit, Ressourcen und Personal – ohne externe Unterstützung wird NIS-2 zu einem Projekt, das schwer zu stemmen ist.
Daher sind Unternehmen gut beraten, jetzt mit der Umsetzung zu starten und dafür bewährte Rahmenwerke wie ISO 27001 heranzuziehen, um eine strukturierte Grundlage für die Erfüllung der Cybersicherheitsmaßnahmen zu schaffen. Hierfür bietet die CIS auch ein NIS-Gesetz und ISO 27001 im Kombi-Audit an.
Harald Erkinger, CEO der CIS - Certification & Information Security Services GmbH, über die Nicht-Einhaltung der NIS-2 Richtlinie: „Alle NIS-2 Unternehmen müssen auch alle NIS-2 Vorgaben umsetzen und befolgen. Führungskräfte haben eine Schulungs- und Haftungspflicht, Cybersicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden. Und eines ist garantiert: Der Gesetzgeber wird Unternehmen zur Umsetzung der geforderten Informationssicherheitsmaßnahmen prüfen. Vorsorge ist besser als Nachsorge - CIS empfiehlt Unternehmen, sich durch eine unabhängige Selbsteinstschätzung abzusichern und eine Prüfung durch erfahrene NIS-Prüfer*innen, wie jene der CIS, durchführen zu lassen.“
6 Handlungsempfehlungen, die den Weg erleichtern:
Um nicht nur gut vorbereitet zu sein, wenn die Richtlinie kommt, sondern die Herausforderung sogar als Erfolgsfaktor zu nutzen, gab Harald Erkinger dem Publikum 6 zentrale Tipps im Umgang mit NIS-2 mit:
- Nutzen Sie NIS-2 als Chance für Resilienz.
- Warten Sie nicht auf das Gesetz. Beginnen Sie jetzt.
- Unterschätzen Sie den Aufwand nicht.
- Gehen Sie davon aus, dass Sie externe Expertise benötigen. Der Ansturm auf NIS-2 Prüfstellen wird bei Inkrafttreten des Gesetzes groß sein.
- Bleiben Sie risikoorientiert = kosteneffizient und effektiv.
- Stellen Sie sich auf eine lange Reise ein.
Noch Fragen? CIS ist als qualifizierte Stelle eines der wenigen vom Bundesministerium für Wirtschaft, Energie und Tourismus (BMWET) berufenen Unternehmen, die aufgrund ihrer Kompetenz NIS-2 Prüfungen am heimischen Markt durchführen können. Nehmen Sie Kontakt mit unseren Expert*innen auf, um auf der sicheren Seite zu sein!