SlideShare ist ein Scribd-Unternehmen logo
1 von 32
Downloaden Sie, um offline zu lesen
Was bringt die Cybersicherheits-Richtlinie NIS 2 für
Unternehmen?
Praxistage 19. bis 21. Februar 2024
online
Mag. Verena Becker, BSc
Bundessparte Information und Consulting
Wirtschaftskammer Österreich
2
Vorstellung Mag. Verena Becker, BSc (WU)
• Cybersicherheitsexpertin in der Bundessparte Information und Consulting/WKÖ
• Mitglied in div. Arbeitsgruppen bei der Cybersicherheit Plattform zu NIS2
• Mitglied der ENISA Ad Hoc Working Group on Enterprise Security
• Cofounderin des Frauennetzwerks Women4Cyber Austria
• Juristin und Betriebswirtin mit Schwerpunkt Informationssicherheit
• zertifizierte Information Security Managerin
• ausgebildete Wirtschaftstrainerin
Top 10 Geschäftsrisiken in Österreich 2024
3
Allianz Risk Barometer 2024 Pressemitteilung |
Allianz Commercial
Was ist NIS überhaupt?
Wofür steht NIS?
NIS - Sicherheit von Netz- und Informationssystemen
Cybersicherheits-Richtlinie NIS2 in a nutshell
NIS – Sicherheit von Netz- und Informationssystemen
NIS2 – RL: Umsetzung bis 17. Oktober 2024 in nationales Gesetz
Risikomanagementmaßnahmen und Meldepflichten
betroffen: große und mittlere Unternehmen bestimmter Sektoren
betroffen: Digitale Infrastruktur
indirekt betroffen: Lieferkette
NIS-Gesetzgebung
2016: NIS-Richtlinie 2016/1148
2018 NIS-Gesetz
2019 NIS-Verordnung
2023 NIS2-Richtlinie
OFFEN - bis 17. Oktober 2024:
NIS2-Gesetz und nationale Verordnungen
Bin ich betroffen?
Wer ist betroffen - Prüfschema
1. EU ?
2. Sektor: Anhang I und Anhang II Spalte 3 ?
3. mittleres oder großes Unternehmen ?*
4. wesentliche oder wichtige Einrichtung?
*Sonderregeln für Digitale Infrastruktur
oder wenn als kritisch eingestuft
Anhang I
Sektoren mit hoher Kritikalität
• Energie
• Verkehr
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• Verwaltung von IKT-Diensten (B2B)
• öffentliche Verwaltung
• Weltraum
Anhang II
Sektoren mit sonstiger Kritikalität
• Post- und Kurierdienste
• Abfallbewirtschaftung
• Chemie (Herstellung und Handel)
• Lebensmittel (Großhandel, ind.
Produktion, und Verarbeitung)
• verarbeitendes
Gewerbe/Herstellung von Waren
• Anbieter digitaler Dienste
• Forschung
11
Wer ist betroffen?
große Unternehmen
mittlere Unternehmen
(ab 50 MA oder
mehr als EUR 10 Mio. Jahresumsatz)
kleine Unternehmen:
bis 49 Beschäftigte oder
Jahresumsatz/Jahresbilanz bis 10 Mio. EUR
Sektoren
Anhang
Spalte 3
NIS2
Unternehmensgrößen
Benutzerleitfaden der EU-Kommission zur Definition von KMU
Empfehlung der Kommission Definition von KMU
Sind kleine Unternehmen betroffen?
Kleinunternehmen nicht unter NIS2:
bis 49 Beschäftigte UND
Jahresumsatz/Jahresbilanz bis 10 Mio. EUR
Ausnahmen:
• verbundene oder Partner-Unternehmen
• Digitale Infrastruktur
• Lieferkette (indirekt über Kunden betroffen)
• wichtig eingestuft
Wesentliche und wichtige Einrichtungen
Wesentliche
Einrichtungen
große Einrichtungen
laut Anhang I
Wichtige
Einrichtungen
mittlere Einrichtungen Anhang I
große und mittlere Einrichtungen Anhang
II
Digitale
Infrastruktur
14
strengere Aufsicht
(ex-ante und ex-post)
höhere Strafdrohung
Aufsicht nur bei begründetem
Verdacht (ex-post)
Sektor Art der Einrichtung groß mittel klein
Digitale
Infrastruktur
TLD-Namenregister
qualifizierte Vertrauensdiensteanbieter
wesentlich
DNS Diensteanbieter (ausgenommen Betreiber von Root-
Nameserver)
Anbieter öffentlicher elektronischer Kommunikationsnetze oder
elektronischer Kommunikationsdienste
wesentlich wichtig
Vertrauensdiensteanbieter wesentlich wichtig
Betreiber von Internet-Knoten
wesentlich wichtig
Anbieter von Cloud-Computing-Diensten
Anbieter von Rechenzentrumsdiensten
Betreiber von Content Delivery Networks (CDN)
Ist mein Unternehmen betroffen?
www.ratgeber.wko.at/nis2
Was muss ich tun?
NIS2 im Unternehmen
Selbsteinstufung/Registrierung
Risikomanagementmaßnahmen
Berichtspflichten
Verantwortlichkeit des Top-Managements
10 Risikomanagementmaßnahmen – Art. 21 Abs. 2
• Konzept Risikoanalyse und Sicherheit für Informationssysteme
• Bewältigung von Sicherheitsvorfällen
• Business Continuity und Krisenmanagement
• Lieferkettensicherheit
• Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT
• Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
• Cyberhygiene und Schulungen zur Cybersicherheit
• Kryptografie und ggf Verschlüsselung
• Sicherheit des Personals, Konzepte für die Zugriffskontrolle
• Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
10 Risikomanagementmaßnahmen
• Konzept Risikoanalyse und Sicherheit für Informationssysteme
• Bewältigung von Sicherheitsvorfällen
• Business Continuity und Krisenmanagement
• Lieferkettensicherheit
• Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT
• Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
• Cyberhygiene und Schulungen zur Cybersicherheit
• Kryptografie und ggf Verschlüsselung
• Sicherheit des Personals, Konzepte für die Zugriffskontrolle
• Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
* Stand der Technik - TeleTrusT -
Bundesverband IT-Sicherheit e.V. /
IT Security Association Germany
NIS2 für alle – die Sicherheit der Lieferkette
Kunde unterliegt
NIS2
Lieferketten
sicherheit
Kunde überträgt
NIS2 Pflichten
vertraglich an
Lieferant
Kunde verlangt
Nachweis für
Sicherheit
Lieferant
unterliegt
vertraglich NIS2
Berichtspflichten bei erheblichen Sicherheitsvorfällen
Frühwarnung
unverz. bis 24h nach
Kenntnis
Meldung
bis 72h nach Kenntnis
Abschlussmeldung –
bis 1 Monat nach Meldung
Governance
Verantwortlichkeit des Top-Managements
Schulungen für Top-Management
Was ist wenn ich nichts tue?
Sanktionen
• 10 Mio EUR oder 2% des
weltweiten Jahresumsatzes
(wesentlich)
• 7 Mio EUR oder 1,4% des
weltweiten Jahresumsatzes
(wichtig)
• persönliche Haftung für
Leitungsorgane
Kosten und Schäden bei Sicherheitsvorfällen
• Security Kosten: Datenwiederherstellung, Forensik, Hard- und
Software)
• Betriebsunterbrechung: Mehrkosten Aufrechterhaltung und
Wiederherstellung, entgangener Gewinn
• finanzieller Schaden: durch Hacking, Zahlen von Lösegeldern, etc.
• Krisenmanagement: PR-Beratung, Krisenmanager, etc.
• Haftung und Schadenersatzansprüche: Weiterleitung Schadsoftware,
Verletzung von Geheimhaltungspflichten, Vertragsstrafen, etc.
• Data Breach: Datenschutzverletzung, Rechts- und PR-Beratung,
Benachrichtigungskosten
• Strafen
Wie geh ich´s an?
NIS2 – wie geh ich´s an?
1. Betroffenheit klären
2. Ressourcen einplanen
3. Assetmanagement
4. Risikoanalyse und Lücken in Bezug auf NIS2
5. Maßnahmen ermitteln und umsetzen
Nutzen
• Identifizierung von Schwachstellen
• bessere Abwehrfähigkeit von
Angriffen
• Transparenz
• Vermeidung Beeinträchtigung des
Geschäftsbetriebs
• Erfüllung der gesetzlichen
Vorgaben/Compliance
• Vermeiden von Haftungen, Strafen,
Reputationsverlust, etc.
• …
29
Wie unterstützt die WKO Unternehmen?
• Informationen zu NIS2 - https://wko.at/nis2
• Online-Ratgeber NIS2 – https://ratgeber.wko.at/nis2
• Informationen zu Cybersicherheit – https://it-safe.at
• Förderungen: Cyber Security Schecks (FFG)
• Suche nach IT-Security-Expert: innen
17. Oktober 2024
©Dean Drobot
Shutterstock
Wo ist unser
Security-Team?
They
„ran – som-ware“
You are fucked. Do not touch
anything.
Use Tor.
Mag. Verena Becker, BSc
Bundessparte Information und Consulting
Wirtschaftskammer Österreich
T 05 90 900-3176
E verena.becker@wko.at
W https://it-safe.at | W https://wko.at/nis2

Weitere ähnliche Inhalte

Ähnlich wie Mag.a Verena Becker, BSc. (Wirtschaftskammer Österreich/BSIC)

Bürgerclient und eID
Bürgerclient und eIDBürgerclient und eID
Bürgerclient und eID
guest3326f6
 

Ähnlich wie Mag.a Verena Becker, BSc. (Wirtschaftskammer Österreich/BSIC) (20)

Aktuelle Bedrohungen und Herausforderungen
Aktuelle Bedrohungen und HerausforderungenAktuelle Bedrohungen und Herausforderungen
Aktuelle Bedrohungen und Herausforderungen
 
Kabinettschef Andreas Achatz, BA, MA
Kabinettschef Andreas Achatz, BA, MAKabinettschef Andreas Achatz, BA, MA
Kabinettschef Andreas Achatz, BA, MA
 
Cyber risk
Cyber riskCyber risk
Cyber risk
 
Univ.-Prof. Dr. Ewald Nowotny (Oesterreichische Nationalbank)
Univ.-Prof. Dr. Ewald Nowotny (Oesterreichische Nationalbank)Univ.-Prof. Dr. Ewald Nowotny (Oesterreichische Nationalbank)
Univ.-Prof. Dr. Ewald Nowotny (Oesterreichische Nationalbank)
 
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
 
GAI NetConsult diskutiert auf Konferenz über Informationssicherheit in Energi...
GAI NetConsult diskutiert auf Konferenz über Informationssicherheit in Energi...GAI NetConsult diskutiert auf Konferenz über Informationssicherheit in Energi...
GAI NetConsult diskutiert auf Konferenz über Informationssicherheit in Energi...
 
Banking Compliance & Selbstregulierung
Banking Compliance & SelbstregulierungBanking Compliance & Selbstregulierung
Banking Compliance & Selbstregulierung
 
Erfolg Ausgabe 2/3 2020
Erfolg Ausgabe 2/3 2020 Erfolg Ausgabe 2/3 2020
Erfolg Ausgabe 2/3 2020
 
Bürgerclient und eID
Bürgerclient und eIDBürgerclient und eID
Bürgerclient und eID
 
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT SecurityCWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT Security
 
Swissdec: So managt man Lohndaten heute 14.09.2016 (2. Präsentation)
Swissdec: So managt man Lohndaten heute 14.09.2016 (2. Präsentation)Swissdec: So managt man Lohndaten heute 14.09.2016 (2. Präsentation)
Swissdec: So managt man Lohndaten heute 14.09.2016 (2. Präsentation)
 
Ing. Boris Werner, Ing. Reiner Reinbrech, MSc (BMVIT)
Ing. Boris Werner, Ing. Reiner Reinbrech, MSc (BMVIT)Ing. Boris Werner, Ing. Reiner Reinbrech, MSc (BMVIT)
Ing. Boris Werner, Ing. Reiner Reinbrech, MSc (BMVIT)
 
Datenschutz & IT-Compliance im Eventbereich
Datenschutz & IT-Compliance im EventbereichDatenschutz & IT-Compliance im Eventbereich
Datenschutz & IT-Compliance im Eventbereich
 
Kurs it 2013 (2)
Kurs it 2013 (2)Kurs it 2013 (2)
Kurs it 2013 (2)
 
Univ.Prof. DI Dr. Thomas Grechenig (TU Wien)
Univ.Prof. DI Dr. Thomas Grechenig (TU Wien)Univ.Prof. DI Dr. Thomas Grechenig (TU Wien)
Univ.Prof. DI Dr. Thomas Grechenig (TU Wien)
 
eHealth in der IT
eHealth in der ITeHealth in der IT
eHealth in der IT
 
CyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdfCyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdf
 
Der IT-Sicherheitskatalog ist da!
Der IT-Sicherheitskatalog ist da!Der IT-Sicherheitskatalog ist da!
Der IT-Sicherheitskatalog ist da!
 
Joachim Klepp, Werner Blaschke (VAV Versicherungen AG)
Joachim Klepp, Werner Blaschke (VAV Versicherungen AG)Joachim Klepp, Werner Blaschke (VAV Versicherungen AG)
Joachim Klepp, Werner Blaschke (VAV Versicherungen AG)
 
Compliance-Anforderungen erfüllen: Von der Standardlösung zur kundenspezifisc...
Compliance-Anforderungen erfüllen: Von der Standardlösung zur kundenspezifisc...Compliance-Anforderungen erfüllen: Von der Standardlösung zur kundenspezifisc...
Compliance-Anforderungen erfüllen: Von der Standardlösung zur kundenspezifisc...
 

Mehr von Praxistage

Mehr von Praxistage (20)

Einladung zu den Praxistagen 2024 im virtuellen Landhaus
Einladung zu den Praxistagen 2024 im virtuellen LandhausEinladung zu den Praxistagen 2024 im virtuellen Landhaus
Einladung zu den Praxistagen 2024 im virtuellen Landhaus
 
Michael Jäger, MBA, Dipl. Wirtschaftsinformatiker (FH) Christian Kohler (Mait...
Michael Jäger, MBA, Dipl. Wirtschaftsinformatiker (FH) Christian Kohler (Mait...Michael Jäger, MBA, Dipl. Wirtschaftsinformatiker (FH) Christian Kohler (Mait...
Michael Jäger, MBA, Dipl. Wirtschaftsinformatiker (FH) Christian Kohler (Mait...
 
Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)
Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)
Fr. RA Mag. Birgit Noha, LL.M. (Laws.at)
 
Mag.a Mary-Ann Hayes (Unicredit Bank Austria AG)
Mag.a Mary-Ann Hayes (Unicredit Bank Austria AG)Mag.a Mary-Ann Hayes (Unicredit Bank Austria AG)
Mag.a Mary-Ann Hayes (Unicredit Bank Austria AG)
 
OR Dipl.-Ing. Bettina Gastecker, Bakk (Bundesministerium für Finanzen)
OR Dipl.-Ing. Bettina Gastecker, Bakk (Bundesministerium für Finanzen)OR Dipl.-Ing. Bettina Gastecker, Bakk (Bundesministerium für Finanzen)
OR Dipl.-Ing. Bettina Gastecker, Bakk (Bundesministerium für Finanzen)
 
Dipl.-Ing. (FH) Bernd Stockinger (Citycom Telekommunikation GmbH)
Dipl.-Ing. (FH) Bernd Stockinger (Citycom Telekommunikation GmbH)Dipl.-Ing. (FH) Bernd Stockinger (Citycom Telekommunikation GmbH)
Dipl.-Ing. (FH) Bernd Stockinger (Citycom Telekommunikation GmbH)
 
Dipl.-Verww. (FH) Christian Zierau (Stadtrat für Finanzen, Personal, Ordnung ...
Dipl.-Verww. (FH) Christian Zierau (Stadtrat für Finanzen, Personal, Ordnung ...Dipl.-Verww. (FH) Christian Zierau (Stadtrat für Finanzen, Personal, Ordnung ...
Dipl.-Verww. (FH) Christian Zierau (Stadtrat für Finanzen, Personal, Ordnung ...
 
Bernd Schellnast (Sphinx IT Consulting GmbH)
Bernd Schellnast (Sphinx IT Consulting GmbH)Bernd Schellnast (Sphinx IT Consulting GmbH)
Bernd Schellnast (Sphinx IT Consulting GmbH)
 
Werner Panhauser (Helvetia Versicherungen AG)
Werner Panhauser (Helvetia Versicherungen AG)Werner Panhauser (Helvetia Versicherungen AG)
Werner Panhauser (Helvetia Versicherungen AG)
 
Michael Weilguny, Christian Schön (IVM Technical Consultants Wien Ges.m.b.H.)
Michael Weilguny, Christian Schön (IVM Technical Consultants Wien Ges.m.b.H.)Michael Weilguny, Christian Schön (IVM Technical Consultants Wien Ges.m.b.H.)
Michael Weilguny, Christian Schön (IVM Technical Consultants Wien Ges.m.b.H.)
 
Dipl.-Ing. Bob Velkov (Huawei Technologies Austria GmbH)
Dipl.-Ing. Bob Velkov (Huawei Technologies Austria GmbH)Dipl.-Ing. Bob Velkov (Huawei Technologies Austria GmbH)
Dipl.-Ing. Bob Velkov (Huawei Technologies Austria GmbH)
 
Dipl.-Ing. Werner Plessl (Hewlett Packard Enterprise)
Dipl.-Ing. Werner Plessl (Hewlett Packard Enterprise)Dipl.-Ing. Werner Plessl (Hewlett Packard Enterprise)
Dipl.-Ing. Werner Plessl (Hewlett Packard Enterprise)
 
Dipl.-Ing. Marc Haarmeier (Prime Force Group Int. AG)
Dipl.-Ing. Marc Haarmeier (Prime Force Group Int. AG)Dipl.-Ing. Marc Haarmeier (Prime Force Group Int. AG)
Dipl.-Ing. Marc Haarmeier (Prime Force Group Int. AG)
 
Josef Weissinger (Soroban IT-Beratung GmbH)
Josef Weissinger (Soroban IT-Beratung GmbH)Josef Weissinger (Soroban IT-Beratung GmbH)
Josef Weissinger (Soroban IT-Beratung GmbH)
 
Fr. Vanessa Kluge, BA (Kontron AIS GmbH)
Fr. Vanessa Kluge, BA (Kontron AIS GmbH)Fr. Vanessa Kluge, BA (Kontron AIS GmbH)
Fr. Vanessa Kluge, BA (Kontron AIS GmbH)
 
Ing. Boris Werner (Breitbandbüro des Bundesministeriums für Finanzen)
Ing. Boris Werner (Breitbandbüro des Bundesministeriums für Finanzen)Ing. Boris Werner (Breitbandbüro des Bundesministeriums für Finanzen)
Ing. Boris Werner (Breitbandbüro des Bundesministeriums für Finanzen)
 
Praxistage 2024 im virtuellen Landhaus, St. Pölten
Praxistage 2024 im virtuellen Landhaus, St. PöltenPraxistage 2024 im virtuellen Landhaus, St. Pölten
Praxistage 2024 im virtuellen Landhaus, St. Pölten
 
Hr. David Simon (Juniper Networks, Inc.)
Hr. David Simon (Juniper Networks, Inc.)Hr. David Simon (Juniper Networks, Inc.)
Hr. David Simon (Juniper Networks, Inc.)
 
Mag. Michael Salat (Cisco Systems Austria GmbH)
Mag. Michael Salat (Cisco Systems Austria GmbH)Mag. Michael Salat (Cisco Systems Austria GmbH)
Mag. Michael Salat (Cisco Systems Austria GmbH)
 
Marc Kroll (SERgroup Holding International GmbH)
Marc Kroll (SERgroup Holding International GmbH)Marc Kroll (SERgroup Holding International GmbH)
Marc Kroll (SERgroup Holding International GmbH)
 

Mag.a Verena Becker, BSc. (Wirtschaftskammer Österreich/BSIC)

  • 1. Was bringt die Cybersicherheits-Richtlinie NIS 2 für Unternehmen? Praxistage 19. bis 21. Februar 2024 online Mag. Verena Becker, BSc Bundessparte Information und Consulting Wirtschaftskammer Österreich
  • 2. 2 Vorstellung Mag. Verena Becker, BSc (WU) • Cybersicherheitsexpertin in der Bundessparte Information und Consulting/WKÖ • Mitglied in div. Arbeitsgruppen bei der Cybersicherheit Plattform zu NIS2 • Mitglied der ENISA Ad Hoc Working Group on Enterprise Security • Cofounderin des Frauennetzwerks Women4Cyber Austria • Juristin und Betriebswirtin mit Schwerpunkt Informationssicherheit • zertifizierte Information Security Managerin • ausgebildete Wirtschaftstrainerin
  • 3. Top 10 Geschäftsrisiken in Österreich 2024 3 Allianz Risk Barometer 2024 Pressemitteilung | Allianz Commercial
  • 4. Was ist NIS überhaupt?
  • 5. Wofür steht NIS? NIS - Sicherheit von Netz- und Informationssystemen
  • 6. Cybersicherheits-Richtlinie NIS2 in a nutshell NIS – Sicherheit von Netz- und Informationssystemen NIS2 – RL: Umsetzung bis 17. Oktober 2024 in nationales Gesetz Risikomanagementmaßnahmen und Meldepflichten betroffen: große und mittlere Unternehmen bestimmter Sektoren betroffen: Digitale Infrastruktur indirekt betroffen: Lieferkette
  • 7. NIS-Gesetzgebung 2016: NIS-Richtlinie 2016/1148 2018 NIS-Gesetz 2019 NIS-Verordnung 2023 NIS2-Richtlinie OFFEN - bis 17. Oktober 2024: NIS2-Gesetz und nationale Verordnungen
  • 9. Wer ist betroffen - Prüfschema 1. EU ? 2. Sektor: Anhang I und Anhang II Spalte 3 ? 3. mittleres oder großes Unternehmen ?* 4. wesentliche oder wichtige Einrichtung? *Sonderregeln für Digitale Infrastruktur oder wenn als kritisch eingestuft
  • 10. Anhang I Sektoren mit hoher Kritikalität • Energie • Verkehr • Bankwesen • Finanzmarktinfrastrukturen • Gesundheitswesen • Trinkwasser • Abwasser • Digitale Infrastruktur • Verwaltung von IKT-Diensten (B2B) • öffentliche Verwaltung • Weltraum Anhang II Sektoren mit sonstiger Kritikalität • Post- und Kurierdienste • Abfallbewirtschaftung • Chemie (Herstellung und Handel) • Lebensmittel (Großhandel, ind. Produktion, und Verarbeitung) • verarbeitendes Gewerbe/Herstellung von Waren • Anbieter digitaler Dienste • Forschung
  • 11. 11 Wer ist betroffen? große Unternehmen mittlere Unternehmen (ab 50 MA oder mehr als EUR 10 Mio. Jahresumsatz) kleine Unternehmen: bis 49 Beschäftigte oder Jahresumsatz/Jahresbilanz bis 10 Mio. EUR Sektoren Anhang Spalte 3 NIS2
  • 12. Unternehmensgrößen Benutzerleitfaden der EU-Kommission zur Definition von KMU Empfehlung der Kommission Definition von KMU
  • 13. Sind kleine Unternehmen betroffen? Kleinunternehmen nicht unter NIS2: bis 49 Beschäftigte UND Jahresumsatz/Jahresbilanz bis 10 Mio. EUR Ausnahmen: • verbundene oder Partner-Unternehmen • Digitale Infrastruktur • Lieferkette (indirekt über Kunden betroffen) • wichtig eingestuft
  • 14. Wesentliche und wichtige Einrichtungen Wesentliche Einrichtungen große Einrichtungen laut Anhang I Wichtige Einrichtungen mittlere Einrichtungen Anhang I große und mittlere Einrichtungen Anhang II Digitale Infrastruktur 14 strengere Aufsicht (ex-ante und ex-post) höhere Strafdrohung Aufsicht nur bei begründetem Verdacht (ex-post)
  • 15. Sektor Art der Einrichtung groß mittel klein Digitale Infrastruktur TLD-Namenregister qualifizierte Vertrauensdiensteanbieter wesentlich DNS Diensteanbieter (ausgenommen Betreiber von Root- Nameserver) Anbieter öffentlicher elektronischer Kommunikationsnetze oder elektronischer Kommunikationsdienste wesentlich wichtig Vertrauensdiensteanbieter wesentlich wichtig Betreiber von Internet-Knoten wesentlich wichtig Anbieter von Cloud-Computing-Diensten Anbieter von Rechenzentrumsdiensten Betreiber von Content Delivery Networks (CDN)
  • 16. Ist mein Unternehmen betroffen? www.ratgeber.wko.at/nis2
  • 17. Was muss ich tun?
  • 19. 10 Risikomanagementmaßnahmen – Art. 21 Abs. 2 • Konzept Risikoanalyse und Sicherheit für Informationssysteme • Bewältigung von Sicherheitsvorfällen • Business Continuity und Krisenmanagement • Lieferkettensicherheit • Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen • Cyberhygiene und Schulungen zur Cybersicherheit • Kryptografie und ggf Verschlüsselung • Sicherheit des Personals, Konzepte für die Zugriffskontrolle • Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
  • 20. 10 Risikomanagementmaßnahmen • Konzept Risikoanalyse und Sicherheit für Informationssysteme • Bewältigung von Sicherheitsvorfällen • Business Continuity und Krisenmanagement • Lieferkettensicherheit • Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen • Cyberhygiene und Schulungen zur Cybersicherheit • Kryptografie und ggf Verschlüsselung • Sicherheit des Personals, Konzepte für die Zugriffskontrolle • Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung * Stand der Technik - TeleTrusT - Bundesverband IT-Sicherheit e.V. / IT Security Association Germany
  • 21. NIS2 für alle – die Sicherheit der Lieferkette Kunde unterliegt NIS2 Lieferketten sicherheit Kunde überträgt NIS2 Pflichten vertraglich an Lieferant Kunde verlangt Nachweis für Sicherheit Lieferant unterliegt vertraglich NIS2
  • 22. Berichtspflichten bei erheblichen Sicherheitsvorfällen Frühwarnung unverz. bis 24h nach Kenntnis Meldung bis 72h nach Kenntnis Abschlussmeldung – bis 1 Monat nach Meldung
  • 24. Was ist wenn ich nichts tue?
  • 25. Sanktionen • 10 Mio EUR oder 2% des weltweiten Jahresumsatzes (wesentlich) • 7 Mio EUR oder 1,4% des weltweiten Jahresumsatzes (wichtig) • persönliche Haftung für Leitungsorgane
  • 26. Kosten und Schäden bei Sicherheitsvorfällen • Security Kosten: Datenwiederherstellung, Forensik, Hard- und Software) • Betriebsunterbrechung: Mehrkosten Aufrechterhaltung und Wiederherstellung, entgangener Gewinn • finanzieller Schaden: durch Hacking, Zahlen von Lösegeldern, etc. • Krisenmanagement: PR-Beratung, Krisenmanager, etc. • Haftung und Schadenersatzansprüche: Weiterleitung Schadsoftware, Verletzung von Geheimhaltungspflichten, Vertragsstrafen, etc. • Data Breach: Datenschutzverletzung, Rechts- und PR-Beratung, Benachrichtigungskosten • Strafen
  • 28. NIS2 – wie geh ich´s an? 1. Betroffenheit klären 2. Ressourcen einplanen 3. Assetmanagement 4. Risikoanalyse und Lücken in Bezug auf NIS2 5. Maßnahmen ermitteln und umsetzen
  • 29. Nutzen • Identifizierung von Schwachstellen • bessere Abwehrfähigkeit von Angriffen • Transparenz • Vermeidung Beeinträchtigung des Geschäftsbetriebs • Erfüllung der gesetzlichen Vorgaben/Compliance • Vermeiden von Haftungen, Strafen, Reputationsverlust, etc. • … 29
  • 30. Wie unterstützt die WKO Unternehmen? • Informationen zu NIS2 - https://wko.at/nis2 • Online-Ratgeber NIS2 – https://ratgeber.wko.at/nis2 • Informationen zu Cybersicherheit – https://it-safe.at • Förderungen: Cyber Security Schecks (FFG) • Suche nach IT-Security-Expert: innen
  • 31. 17. Oktober 2024 ©Dean Drobot Shutterstock Wo ist unser Security-Team? They „ran – som-ware“ You are fucked. Do not touch anything. Use Tor.
  • 32. Mag. Verena Becker, BSc Bundessparte Information und Consulting Wirtschaftskammer Österreich T 05 90 900-3176 E verena.becker@wko.at W https://it-safe.at | W https://wko.at/nis2

Hinweis der Redaktion

  1. Datenpannen, Angriffe auf kritische Infrastruktur oder Vermögenswerte und vermehrte Ransomware-Attacken als größte Risiken
  2. Achtung: CD fragt Sind kleine also nicht betroffen!
  3. Unterschied: bei Strafen und Aufsicht (ex ante ex post)
  4. Was ist Vertrauensdiensteanbieter: A-Trust Gesellschaft für Sicherheitssysteme im elektronischen Datenverkehr GmbHBundesamt für Eich- und VermessungswesenA1 Telekom Austria AG (bis 30.09.2002: Datakom Austria GmbH)e-commerce monitoring GmbHPrimeSign GmbHSwisscom IT Services Finance S.E. kleiner Kabelnetzbetreiber
  5. bei erheblichen Sicherheitsvorfällen Cysec ist Chef_innensache
  6. Managen von Cyberrisken Sicherheitsvorfällen um Cyberhygiene: PW-Sicherheit Mitarbeiter
  7. Cyberkriminellen halten sich nicht an Zeitplan NIS2 und nicht an Strafen Ransowmare Forderungen in Ö zwischen Eur 2.000 und 15 Mio