Lippenbekenntnisse, dass Cybersecurity wichtig ist, gibt es von Unternehmen bereits seit Jahren. Sieht man sich an, was vor allem Klein- und Mittelbetriebe tatsächlich gegen die permanent zunehmende Bedrohung machen, klaffen rasch sehr große Lücken. Damit ist im Herbst für zahlreiche Firmen Schluss.

Ab Oktober gelten in der EU neue Vorgaben für mehr Cybersicherheit in Unternehmen bestimmter Sektoren mit mehr als 50 Angestellten. Im Rahmen der Cybersicherheitsrichtlinie "NIS 2" haben aber auch öffentliche Einrichtungen IT-Sicherheitsmaßnahmen vorzunehmen und müssen Vorfälle in der IT-Sicherheit melden. Das entsprechende Gesetz hat die Regierung am Mittwoch in Begutachtung geschickt, wie Innenminister Gerhard Karner (ÖVP) nach dem Ministerrat sagte.

Innenminister Gerhard Karner (ÖVP) erklärt das Cyber.
APA/GEORG HOCHMUTH

Ziel sei es, die Netzsicherheit und Widerstandsfähigkeit von Unternehmen und öffentlichen Einrichtungen zu erhöhen sowie die Reaktionszeit bei Cyberangriffen zu verkürzen, sagte Karner. Für die betroffenen rund 3.000 bis 4.000 Unternehmen, Gebietskörperschaften und Vereine bedeuten die Vorgaben zusätzlichen Aufwand. Ziel des Innenministeriums sei es daher, sie auf diesem Weg bestmöglich vorzubereiten und zu unterstützen, betonte der Minister.

Servicestelle im Innenministerium

Daher sei im Innenministerium eine Servicestelle für Cybersicherheit eingerichtet worden. Im vergangenen Jahr wurde zudem ein Einbindungsprozess mit der Industriellenvereinigung, der Wirtschaftskammer sowie den Bundesländern gestartet. Ziel sei es gewesen, keine überschießende Regelung (sogenanntes Golden Plating) ins Gesetz zu schreiben, um die Vorgaben so praxistauglich wie möglich zu machen, sagte Karner. Der Innenminister erinnerte zudem an den Cyberangriff auf Kärnten im Sommer 2022, der die öffentliche Verwaltung für Wochen störte und zum Teil zum Erliegen kommen ließ.

Kommunalverwaltungen und ähnliche Institutionen sieht man auch beim Technologiekonzern Rohde & Schwarz als besonders gefährdet. "Wer einer Volkswirtschaft schaden will, muss dafür nicht unbedingt das Parlament lahmlegen. Es reichen auch 20 Gemeinden, die nicht geschützt sind", sagte der Chef der Cybersecurity-Sparte des Münchner Unternehmens, Marian Rachow, kürzlich in einem Interview. "Betroffen sind auch Müllversorger, Lebensmittelhersteller, Großbäckereien." Solche Akteure würden zwar mittlerweile auch zur kritischen Infrastruktur gezählt, hätten aber oft nicht die nötigen Mittel für einen umfassenden Schutz.

Vierwöchige Begutachtungsphase

Die Begutachtungsphase für das Netz- und Informationssicherheitsgesetz dauert nun vier Wochen. Die Umsetzung der EU-Richtlinie muss bis Oktober erfolgen. Die Liste betroffener Sektoren und Subsektoren – jeweils aufgeteilt in hochkritische und kritische Bereiche – ist jedenfalls lang. Auch der Produktions- und beispielsweise der Forschungssektor sind von den neuen Vorgaben umfasst, nicht "nur" etwa der Energiesektor mit all seinen Bereichen oder Öffentliches wie die Wasserversorgung. "NIS 1" gilt aktuell nur für rund 100 Unternehmen.

Dass es neue Regeln braucht, die Unternehmen dabei helfen, sich selbst zu schützen, unterstreicht etwa die Kriminalitätsstatistik vom Vorjahr. Es gab um fast zehn Prozent mehr Anzeigen als 2022, und das Internet spielte dabei eine wesentliche Rolle. Hauptverantwortlich für den Anstieg waren vor allem Eigentumsdelikte wie Einbrüche, Wirtschafts- sowie Internetkriminalität. Deutlich zeigte sich, dass rund 12,5 Prozent aller Delikte bereits im Netz stattfinden. Das bedeutet, dass neben klassischen Wirtschaftsdelikten wie Betrug auch klassische Gewaltdelikte wie gefährliche Drohung oder Erpressung über das Internet durchgeführt werden bzw. Bezug dazu haben. (and, APA, 3.4.2024)