NIS2 – BEDEUTUNG UND AUSWIRKUNGEN DER NEUEN RICHTLINIE.

Dominik Achleitner (Head of IT @ NÖM AG) im Interview

Was bedeutet die europäische und politische Einigung zu NIS2 speziell für Österreich?

Das Ziel hinter NIS ist die strukturierte und flächige Steigerung der Cybersecurity-Resilienz in den Mitgliedsstaaten der EU. NIS wurde 2016 von der europäischen Union festgelegt und 2018 in dem österreichischen Netz- und Informationssicherheitsgesetz (NISG) umgesetzt.

Von NIS sind Betreiber wesentlicher Dienste betroffen (Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastruktur).

Als Erweiterung dazu tritt NIS2 per 16.01.2023 in Kraft und soll bis Ende 2024 in nationales Recht umgesetzt werden. Durch die unterschiedliche Auslegung in den Mitgliedsstaaten und die zunehmende Gefahrenlage in der Pandemie (durch verstärktes Homeoffice, etc.) hat sich die europäische Kommission für eine Überarbeitung entschieden. NIS2 regelt die Zuordnung zu kritischen Diensten genauer und erhöht die Anzahl der Sektoren (19 auf 35), speziell die Meldepflichten sind genauer geregelt (Artikel 20 NIS2) worden als bisher.

Wie wird sich NIS2 auf Ihre Branche auswirken?

Die Lebensmittelbranche ist sehr weit gestreut, von Herstellung über Verarbeitung bis hin zu Vertrieb, gibt es unterschiedliche Organisationskonzepte und einhergehend unterschiedliche Anforderungen an den IT-Betrieb.

Unternehmen wie wir (NÖM AG) befassen sich mit einem kontinuierlichen Produktionsprozess bereits aus dem Tagesgeschäft (24/7 Produktion), daher sind bereits jetzt die Anforderungen im Bereich Verfügbarkeit und IT-Sicherheit sehr hoch.

Andere Bereiche der Lebensmittelbranche haben aus der Perspektive IT-Sicherheit sicher mehr Aufholbedarf; festzuhalten ist, dass Unternehmen mit weniger als 50 Mitarbeitern bzw. weniger als 10 Millionen Euro Jahresumsatz tendenziell ausgenommen sind. Grundsätzlich würde ich einen mehr stufenbasierten Ansatz begrüßen, der auch kleine Unternehmen nicht aus der Pflicht lässt, da selbst kleine Unternehmen aus Sicht der Lieferkette großen Einfluss auf andere Unternehmen haben.

Das sprichwörtlich schwächste Glied der Kette bestimmt den gesamtheitlichen IT-Security-Resilienz-Grad. Aus diesem Grund rate ich allen Unternehmen, sich neben der eigenen IT-Security auch mit der IT-Security im Kontext der Lieferkette zu befassen.

Welche Bestimmungen der neuen Regulierungen sind aus Ihrer Sicht besonders bedeutsam und welche sehen Sie als Herausforderungen für Ihr Unternehmen?

Auf der einen Seite sind wir als Unternehmen jetzt einmal betroffen, alleine hier sollten Unternehmen proaktiv prüfen, inwieweit sie von der neuen Richtlinie betroffen sind. Entsprechende Vorbereitungen kann man jetzt noch gut planen. Wenn der Bescheid einmal da ist und man eine qualifizierte Stelle mit der Konformitätsprüfung beauftragt, können manche Maßnahmen ev. nicht mehr sorgsam geplant und umgesetzt werden. Die Erhöhung der Geldbußen stellt sicher auch einen spannenden Punkt dar, damit möchte die europäische Union die Bedeutung hervorheben, damit die Unternehmen den Anforderungen nachkommen. Eigentlich sollte es Eigeninteresse der Unternehmen sein, die IT wird jedoch allzu oft noch nicht in der Gewichtigkeit wahrgenommen, die ihr als wertsichernder Prozess zusteht.

Eine wirkliche Herausforderung können die neuen Meldepflichten sein, diese wurden von 72 Stunden auf 24 Stunden für die Erstmeldung und anschließend innerhalb von 72 Stunden mit einer Nachfolgemeldung geändert.

Dies stellt aufgrund des anhaltenden Fachkräftemangels eine Herausforderung an interne Prozesse, speziell da einige Unternehmen noch Potentiale im Bereich Notfallplan haben, somit können solche Fristen im Incident-Fall leicht unter den Tisch fallen.

Meine persönliche Empfehlung ist ein frühzeitiges NIS2 Audit von einer erfahreneren Firma (Anmerkung am Rande: Sehr viele Personen entdecken NIS2 gerade als neues, lukratives Betätigungsfeld, hier muss man achtsam sein.), um einen resultierenden Maßnahmenplan strukturiert und geplant umsetzen zu können, allenfalls auch vor der nächsten Budgetperiode.

Dominik Achleitner

Head of IT

NÖM AG

About

Dominik Achleitner studierte Projektmanagement und IT im Bachelor und absolvierte im Anschluss drei unterschiedliche Masterstudiengänge in den Bereichen Wirtschaftsinformatik, Wissensmanagement und Business Administration. In seiner langjährigen Karriere bei Hirtenberger Holding GmbH stieg er vom IT-Management Support bis hin zum Director IT auf und befasste sich mit Themen wie IT-Strategie, Change Management, IT-Security und digitaler Kompetenz.

Er war von 2020 bis September 2021 Head of IT und Digital Transformation bei der St. Anna Kinderkrebsforschung. Seit 2021 ist er nun als Head of IT bei NÖM AG tätig.

Als leidenschaftlicher IT-Stratege mit einem Augenmerk auf Operationalisierung betreut er nach wie vor IT-Projekte bei der St. Anna Kinderkrebsforschung, ist aktiver Trainer bei der https://www.entrepreneurshipwoche.at/ und brennt für alle Themen rund um Digitale Kompetenz (https://www.digital-kompetent.at/).

Zum Newsletter