Ab Oktober 2024

NIS2: Neue Cybersecurity-Richtlinie wird zum Angstgegner für so manches Scale-up

NIS2-Graffiti. © Dall-E / Trending Topics
NIS2-Graffiti. © Dall-E / Trending Topics
Startup Interviewer: Gib uns dein erstes AI Interview Startup Interviewer: Gib uns dein erstes AI Interview

„NIS2 killt uns.“ Dieser Satz, den Trending Topics zuletzt hinter vorgehaltener Hand seitens eines Scale-up-Vertreters zu hören bekam, hat es in sich. NIS2, das steht kurz für die zweite Version der EU-Richtlinie zur Netzwerk- und Informationssicherheit, die mit dem 18. Oktober 2024 vollends in Kraft treten wird. Der EU geht es darum, Unternehmen auf ein gemeinsames Niveau in Sachen Cybersecurity zu heben. Während der COVID-19-Pandemie kam man zu der Einsicht, dass digitale Infrastruktur besonders zu schützen ist – und NIS2 soll in vier Monaten dafür sorgen, dass nicht nur Unternehmen der kritischen Infrastruktur höhere Auflagen einhalten, sondern auch die, die Geschäfte mit ihnen machen. Und das bedeutet: Noch einmal mehr Regeln zusätzlich zu allen anderen, die so manches Scale-up dann einhalten muss.

„Ab dem 18. Oktober 2024 müssen sowohl Unternehmen der „kritischen Infrastruktur“, dazu zählen unter anderem Betriebe aus den Bereichen Energie, Bankwesen, Verkehr, Gesundheitswesen, digitale Infrastruktur oder die öffentliche Verwaltung, als auch deren Geschäftspartner einen Nachweis erbringen, der konkrete Maßnahmen in Bezug auf Cybersicherheit belegt“, heißt es seitens des KSV1870, der sich mit dem „Cyber­Risk Report“ seiner Tochterfirma Nimbusec intensiv mit der NIS2-Richtlinie auseinander setzt. Weil also nicht nur die Unternehmen der kritischen Infrastruktur selbst, sondern eben auch deren Zulieferer betroffen sind, schätzt man beim KSV1870, dass in Österreich jeder dritte Betrieb betroffen ist. „Davon sind keineswegs nur die großen Unternehmen betroffen. Das kann auch eine kleine Cateringfirma sein, die im Zuge der Aufträge via IT-Schnittstellen mit dem Auftraggeber kommuniziert“, so Ricardo-José Vybiral, CEO der KSV1870 Holding AG.

Zulieferer werden von NIS2 auch erfasst

NIS2 bedeutet also für viele Unternehmen, darunter auch Startups und Scale-ups, die ja besonders digital arbeiten, neue und höhere Auflagen in Sachen Cybersecurity – und damit auch mehr Kosten. Denn erfüllt man die Regeln nicht, dann droht der Verlust von Aufträgen bzw. Kunden aus dem Bereich der Unternehmen der kritischen Infrastruktur, zu denen eben auch Banken, Energieversorger, Gesundheitseinrichtungen oder Behörden gehören. Kleine Unternehmen (weniger als 50 Mitarbeiter:innen, Jahresumsatz von höchstens 10 Mio. Euro bzw. Jahresbilanzsumme von höchstens 10 Mio. Euro) sind zwar prinzipiell von NIS2 ausgenommen, jedoch gibt laut Wirtschaftskammer es Ausnahmen für:

  • Vertrauensdiensteanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
  • TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
  • Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, das essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.

„Im Energiesektor beispielsweise war der Anwendungsbereich der NIS immer auf Unternehmen beschränkt, die Energie im Strom- und Gassektor erzeugen, liefern oder regulieren“, heißt es etwa seitens Unternehmensberater PwC. „Im Rahmen von NIS 2 erwarten wir, dass auch die Lieferkette von den Anforderungen erfasst werden. Dazu zählen unter anderem auch die Hersteller von Windturbinen oder Photovoltaik-Anlagen sowie die Betreiber von Ladestationen für Elektrofahrzeuge, aber auch viele andere Unternehmen.“ Das Beispiel zeigt also, dass auch viele Zulieferer betroffen sein werden.

Mittlere und große Unternehmen (d.h. zumindest 50 Mitarbeiter:innen oder Jahresumsatz von über zehn Millionen Euro und Jahresbilanzsumme über zehn Millionen Euro bzw. zumindest 250 Mitarbeiter:innen, Jahresumsatz von über 50 Millionen Euro und Jahresbilanzsumme über 43 Millionen Euro) fallen laut WKO fix unter NIS2, wenn sie zu folgenden kritischen Sektoren („wesentliche Einrichtungen“) zählen:

„Wesentliche Einrichtungen“ („Essential Entities“):

  • Energie
  • Verkehr (Luft, Schiene, Straße, Schiff)
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten B2B
  • öffentliche Verwaltung
  • Weltraum/Raumfahrt

„Wichtige Einrichtungen“ („Important Entities“):

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie
  • Lebensmittel
  • verarbeitendes/herstellendes Gewerbe
  • Anbieter digitaler Dienste (z.B. Online-Marktplätze, Suchmaschinen, Social Networks, Cloud-Computing-Dienste)
  • Forschungseinrichtungen

Auch Online-Marktplätze sind betroffen

Scale-ups mit mehr als 50 Mitarbeiter:innen und einem Umsatz von mehr als 10 Mio. Euro finden sich auch in Österreich viele, und da meist alle auch Anbieter digitaler Dienste sind, müssen sie sich mit NIS2 befassen. Interessant dabei ist vor allem auch, was als Online-Marktplatz definiert ist, nämlich laut der österreichischen NIS-Behörde:

„Ein Online-Marktplatz ermöglicht es Verbrauchern und Unternehmern, Kaufverträge oder Dienstleistungsverträge mit Unternehmern online abzuschließen und ist als solcher der endgültige Bestimmungsort für den Abschluss dieser Verträge.

Er erstreckt sich nicht auf Online-Dienste, die lediglich als Vermittler für Drittdienste fungieren und durch die letztlich ein Vertrag geschlossen werden kann. Er erstreckt sich deshalb nicht auf Online-Dienste, die die Preise für bestimmte Produkte oder Dienste bei verschiedenen Unternehmern miteinander vergleichen und den Nutzer anschließend an den bevorzugten Unternehmer weiterleiten, damit er das Produkt dort kauft.

Die von einem Online-Marktplatz bereitgestellten IT-Dienste können die Verarbeitung von Transaktionen, die Aggregation von Daten oder die Erstellung von Nutzerprofilen einschließen. Als Online-Stores tätige Application-Stores, die den digitalen Vertrieb von Anwendungen oder Software-Programmen von Dritten ermöglichen, sind Online-Marktplätze im weiteren Sinn.“

Auf diese Firmen kommen nun eine ganze Reihe an Dingen zu, die sie umsetzen müssen, sollten sie das noch nicht getan haben. Machen sie es nicht, drohen ihnen Sanktionen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes (für „wesentliche Einrichtungen„, „essential entities“, siehe Liste oben) bzw. Bußgelder bei bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes (für „wichtige Einrichtungen„, „important entitities“), je nachdem, welche Summe höher ist. Auch ihre Geschäftsführer:innen bzw. das C-Level werden strengere Haftungsregeln eingeführt. Sie müssen dafür sorgen, dass Folgendes umgesetzt wird:

  • Maßnahmen in Bereichen wie Cyber-Risikomanagement
  • Sicherheit in der Lieferkette
  • Business Continuity Management
  • Penetrationstests
  • Berichterstattung an die Behörde leisten und gegebenenfalls Abhilfemaßnahmen

Damit müssen sich zahlreiche Scale-up-Gründer:innen künftig wohl auch mit der neu geschaffenen Cybersecurity-Behörde auseinander setzen. Diese wurde beim Bundesministerium für Inneres (BMI) angesiedelt und ist jüngst auf einige Kritik gestoßen. Ihr fehle nicht nur notwendiges Personal, sondern ihr wird auch „mangelnde Einbindung von Wissenschaft und Zivilgesellschaft“ und „überschießende Kompetenzen“ vorgeworfen. Laut Der Standard moniert die Opposition auch, dass Unternehmen zu wenig eingebunden und informiert werden, was die NIS2-Umsetzung angeht. Es wird also noch spannend, wie NIS2 in Österreich am Ende umgesetzt wird – oder auch nicht.

Cybersecurity 2024: Powered by KSV1870

Werbung
Werbung

Specials unserer Partner

Die besten Artikel in unserem Netzwerk

Deep Dives

#glaubandich CHALLENGE Hochformat.

#glaubandich CHALLENGE 2025

Österreichs größter Startup-Wettbewerb - 13 Top-Investoren mit an Bord
© Wiener Börse

IPO Spotlight

powered by Wiener Börse

Austrian Startup Investment Tracker

Die Finanzierungsrunden 2024

Trending Topics Tech Talk

Der Podcast mit smarten Köpfen für smarte Köpfe

2 Minuten 2 Millionen | Staffel 11

Die Startups - die Investoren - die Deals - die Hintergründe

The Top 101

Die besten Startups & Scale-ups Österreichs im großen Voting

BOLD Community

Podcast-Gespräche mit den BOLD Minds

IPO Success Stories

Der Weg an die Wiener Börse

Weiterlesen