Klaus Lussnig und Jens Bußjäger im Gespräch darüber, wer aller die EU-Richtline für Cybersicherheit umsetzen muss, warum die Nicht-Berücksichtigung gefährlich ist – und warum Freiwilligkeit nicht ausreicht.
(…)
Sollte Österreich diese Sektorenaufteilung übernehmen, oder sehen Sie Punkte, die der heimischen Situation besser entsprechen?
Klaus Lussnig: Ich möchte genau dort anknüpfen und nochmal betonen, dass ich die Sektoraufteilung als „MUSS“-Aufforderung des Landes Österreich an die österreichischen Unternehmen und die Kritischen Infrastrukturen sehe.
Warum ist das für Sie so wichtig?
Lussnig: NIS2 reguliert über die Größe eines Unternehmens mittels size cap rules, welche nach mittleren und großen Unternehmen unterscheidet und auch Kleinunternehmen in bestimmten Ausnahmefällen berücksichtigt. Dazu wird noch auf das Level-playing-Field eingegangen – also geschaut, ob das Unternehmen seine Leistung in der EU erbringt. Zusätzlich noch die Unterscheidung öffentliche und private Einrichtung getroffen und nach Art der Einrichtung entschieden. Auch das ist eindeutig geregelt, und zwar in Spalte 3 von Anhang I & II der Tabelle nach wesentlichen oder wichtigen Einrichtungen. Ist doch eine klare Vorgabe, oder?
(…)
Dann gibt es ja auch noch die EURichtlinie für kritische Infrastruktur, die jeweils von den nationalen Regierungen identifizierte Unternehmen betrifft. Wie spielt das mit NIS 2 zusammen?
Jens Bußjäger: Es sind im gesamten mehrere Elemente zu beachten. Hier wird wohl ein KRITIS-Dachgesetz kommen, dass ab 2023 Anforderungen zur Resilienz und physischen Sicherheit der Kritischen Infrastrukturen konkretisieren soll. Hier finden wir dann wohl viele der Anforderungen EU RCE/CER wieder, des weiteren das ITSiG 3.0 und Änderungen mit dem Mittel der Rechtsverordnung zu KRITIS Entsorgung und z. B. der UBI.
(…)
Kommen wir zu konkreten Maßnahmen. Was ist in Deutschland jetzt schon verbindlich vorgeschrieben?
Bußjäger: Mit dem ITSiG 1.0 wurde für alle Kritischen Infrastrukturen die Einführung eines ISMS (Informationsecurity Management System) verbindlich. Mit der ersten Kritis-VO wurden die Rahmenbedingungen beschrieben, welche Unternehmen Kritis sind und entsprechend einen Nachweis zum ISMS erbringen müssen. Hier waren die Unternehmen selbst aufgefordert, sich zu melden. Alle Kritischen Infrastrukturen sollten in Bezug auf Cybersicherheit den „Stand der Technik“ einsetzen. Beides hat nicht ausreichend funktioniert.