Der Schutz kritischer Infrastruktur soll weiter verbessert werden, die Anforderungen an deren Betreiber steigen deutlich: Am Montag, 16. Januar, tritt die NIS2-Richtlinie der Europäischen Union in Kraft. Die EU reagiert damit auf die in geopolitischen Krisenzeiten stark zunehmenden Cyberangriffe, die gesellschaftlich besonders relevante Einrichtungen und Organisationen bedrohen.
Eine Einschätzung von Eugenio Carlon, Geschäftsführer RADAR Cyber Security.
Eile ist geboten, die Bedrohungslage verändert sich laufend: Eine Schwachstelle oder Anomalie, die gestern noch als „hoch kritisch“ eingestuft wurde, ist morgen bereits ein erfolgreicher Infiltrationsakt. Und spätestens im Herbst 2024 müssen die dann strengeren Vorgaben zur Netzwerk- und Informationssicherheit in nationales Recht umgesetzt sein. Eine enge und systematische Zusammenarbeit zwischen Wirtschaft, Politik und Gesellschaft ist nötig.
Konkret geht es um inzwischen 18 Sektoren, die dann EU-weit mit gleichen Standards als kritische Infrastruktur eingestuft sind und sich entsprechend rüsten müssen – darunter Gesundheit, Energie und Wasserversorgung, Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Transport und Verkehr.
KRITIS-Unternehmen ab 50 Mitarbeitenden und zehn Millionen Euro Jahresumsatz müssen mit der neuen Richtlinie bestimmte Cyber-Security-Pflichten verbindlich umsetzen. Betreiber digitaler Infrastruktur, darunter Anbieter elektronischer Kommunikation und Domain-Registrare, werden unabhängig von ihrer Größe reguliert – ebenso wie Bereiche der öffentlichen Verwaltung und einige Spezialanbieter von besonderer Wichtigkeit, die etwa in Metropolen oder grenzübergreifend agieren.
Wie wichtig ein ganzheitlicher Ansatz von Cyber-Security ist – besonders für KRITS-Betreiber –, sehen wir in unserer tagtäglichen Arbeit. Die Novelle der NIS-Richtlinie sowie das Cyberresilienz-Gesetz leisten einen wichtigen Beitrag, um auch unter den zukünftigen Bedingungen die Werte unserer Gesellschaft in Europa zu wahren und uns so gut wie möglich vor Ausfällen in lebenswichtigen Bereichen zu schützen.
Das geht nur gemeinsam: Cybersecurity-Spezialisten, die Wirtschaft sowie die politischen Entscheidungsträger in Europa müssen hier an einem Strang ziehen.