KSV1870-Holding-CEO Ricardo-José Vybiral über die dringende Notwendigkeit, NIS2-fit zu werden, und wie Österreichs führender Gläubigerschutzverband dabei hilft.
trend: Mit der NIS2-Regel kommt eine neue Verordnung für eine höhere Cybersicherheit der heimischen Betriebe. Wie reagieren die Unternehmen darauf?
Ricardo-José Vybiral: Viel zu langsam. Wir brauchen dringend einen Cybersecurity-Wake-up-Call. Wir haben im vergangenen Jahr 62.000 Anzeigen im Zusammenhang mit Internetkriminalität gehabt. Sie ist zwar leicht gesunken, aber nur 2023 gab es mehr Anzeigen. Und die Dunkelziffer, die Zahl der Unternehmen, die infiziert worden sind, ist deutlich höher. Denn viele merken gar nicht, dass sie infiziert sind.
trend: Wie kommen Sie darauf?
Wir scannen mit unserem WebRisk Indicator alle Webseiten in Österreich. Dabei untersuchen wir, ob die benutzte Software überhaupt aktuell ist. Dabei haben wir festgestellt, dass durchschnittlich 200 Unternehmen gehackt wurden und mit Malware infiziert waren. Natürlich haben wir die Betriebe sofort darauf hingewiesen. Aber die Reaktion war katastrophal. Nach einem Monat haben 90 Prozent noch immer keine Maßnahmen zur Bereinigung gesetzt.
trend: Kann das nicht eine Momentaufnahme sein?
Nein. Wir haben daraufhin für den CyberRisk Report 2024 das Thema abgefragt. Dabei kam heraus, dass 87 Prozent der Unternehmen ihre eigene Cybersicherheit überschätzen. Das gilt nicht für die großen Unternehmen, die machen ständig Penetrationstests. Aber wir sind ein KMU-Land. Und diesen kleinen Unternehmen ist nicht bewusst, dass sie sich bei der Cybersicherheit besser aufstellen müssen.
trend: Nach der NIS2-Verordnung müssen Unternehmen, die Geschäftsbeziehungen zu kritischen Infrastrukturbetrieben wie Banken, Energieversorgern, aber auch der Lebensmittelindustrie haben, ihre Cybersicherheit den Vorgaben anpassen.
Davon sind unmittelbar rund 4.000 Betriebe betroffen. Dazu kommt ein Vielfaches an Lieferanten und Geschäftspartnern. Man muss ja die gesamte Lieferkette betrachten, also auch die Zulieferer. Nach unseren Untersuchungen sind rund 50.000 Betriebe indirekt von NIS2 betroffen.
trend: Welche Auswirkungen haben diese Geschäftsbeziehungen für den jeweiligen Umsatz?
Laut unserem Austrian Business Check pflegt ein Drittel aller Unternehmen eine Geschäftsbeziehung mit Betrieben der kritischen Infrastruktur. Für die Hälfte von ihnen macht der Umsatz mit der kritischen Infrastruktur mindestens 20 Prozent des Gesamtumsatzes aus. Für weitere 30 Prozent ist es sogar mehr als die Hälfte ihrer Umsätze. Hier schlittern manche sehenden Auges in ein Desaster.
trend: Aber gerade kleinere Unternehmen klagen über die überbordenden Regulierungsmaßnahmen.
Wir haben daher mit dem Kuratorium Sicheres Österreich (KSÖ) und dem Bundesministerium für Inneres (BMI) dafür einen eigenen Standard definiert. Der hilft Unternehmen, sich den gesamten bürokratischen Aufwand zur Ermittlung, ob sie NIS2-fit sind, zu erleichtern.
trend: Inwiefern?
Wir haben aufbauend auf unserem WebRisk Indicator, der die öffentlich sichtbaren IT-Sicherheitsrisiken und die Compliance des Webauftritts erhebt, ein Cyber-Risk-Schema entwickelt. Darin sind sämtliche Kriterien enthalten, die für die NIS2-Tauglichkeit notwendig sind. Unternehmen, die dabei ein B-Rating erzielen, verfügen bei 14 Anforderungen über ein Basis-Cyberschutzniveau. Das A-Rating wiederum bedeutet, dass alle 25 Anforderungen des KSÖ erfüllt sind. Es gibt auch noch ein A+-Rating, bei dem ein Audit-Partner einen Bericht über die bewertete Organisation liefert.
trend: Und wie können Unternehmen der kritischen Infrastruktur selbst herausfinden, ob ihre Geschäftspartner den NIS2-Anforderungen entsprechen?
Für Unternehmen der kritischen Infrastruktur mit vielen Lieferanten scheint das Cyberrisiko-Management auf den ersten Blick eine administrative Herkulesaufgabe zu sein. Dafür wurde der CyberRisk Manager entwickelt. Er ermöglicht, alle wichtigen Prozesse rund um das Thema Cyberrisiko-Management für Lieferanten nach NIS2 in einer IT-Plattform zu bündeln.
trend: Ein spezieller Teil von NIS2 ist DORA, der Digital Operational Resilience Act, für die europäische Finanzwirtschaft.
Zur Unterstützung der von DORA betroffenen Finanz- oder IT-Unternehmen gibt es im CyberRisk Manager ein eigenes Modul. Damit können die Unternehmen ihre Lieferanten weltweit nach DORA korrekt managen.
