NIS2 & Auswirkungen auf Schulungen
NIS2 und Ziele
Mit Oktober 2024 muss die bereits in Kraft getretende NIS2-Richtline durch die EU-Mitgliedstaaten verpflichtend umgesetzt sein. Bestimmte Organisationen und Unternehmen sind dann – unter bestimmten Bedingungen – zur Einhaltung verbindlicher Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen verpflichtet. NIS2 erweitert dabei den Anwendungsbereich der bisher geltenden NIS-Richtlinie, die in Österreich im NIS-Gesetz umgesetzt wurde.
Die Abkürzung NIS steht für die „Sicherheit der Netz- und Informationssysteme“. Diese Cybersicherheits-Richtlinie soll die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und privaten Sektors in der EU verbessern. Insbesondere sind hier Träger kritischer Infrastrukturen in der Pflicht.
Die Auswirkungen von NIS2
Die NIS2-Richtlinie erweitert fortan den Kreis der betroffenen Organisationen wesentlich. Betroffene Unternehmen und Behörden müssen Mindeststandards für Cybersicherheit erfüllen und Vorfälle jedenfalls innerhalb von 24 Stunden melden. Organisationen sollen dadurch bewegt werden, sich rechtzeitig vorzubereiten und die internen Prozesse so anzupassen, dass der Schutz vor Cyberattacken gewährleistet ist.
Aus holistischer Sicht betrifft das neben der eigenen IT auch die Sicherheit der Partnerunternehmen und gesamten Lieferkette. Interessant ist in diesem Zusammenhang wieder die explizit erwähnte persönliche Haftung von Leitungsorganen. Schulungen müssen dementsprechend nachgewiesen werden.
Notwendige Schulungsmaßnahmen mit NIS2
Hinsichtlich empfohlener Schulungsmaßnahmen beschreibt die Richtlinie die Notwendigkeit der betroffenen Organisationen zur „Sensibilisierung der Nutzer, Organisation von Schulungen für Mitarbeiter und Schritte zur zur Schärfung des Bewusstseins für Cyberbedrohungen, Phishing oder Social-Engineering-Techniken“. Im Artikel 20 heißt es dazu weiters:
Die Mitgliedstaaten stellen sicher, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen an Schulungen teilnehmen müssen, und fordern wesentliche und wichtige Einrichtungen auf, allen Mitarbeitern regelmäßig entsprechende Schulungen anzubieten, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.
Was ändert sich nun?
Durch den erweiterten Wirkungsbereich von NIS2 wird die Schulung der Mitarbeiter und Mitarbeiterinnen für mehr Unternehmen und Behörden ein notwendig zu behandelndes Thema. Durch die persönliche Haftung der Leitungsebene sind positive Effekte hinsichtlich der Wichtigkeit und der zur Verfügung gestellten Ressourcen zu erwarten.
Neben technischen Maßnahmen und gut abgebildeten Prozessen ist die Security Awareness der Mitarbeiter und Mitarbeiterinnen jedenfalls ein wesentlicher Bestandteil widerstandsfähiger Organisationen. NIS2 fordert und fördert nun eine strukturierte und risikobasierte Umsetzung bewusstseinsbildender Maßnahmen.
