Wir erleben eine Veränderung und zunehmende Professionalisierung von Cyberangriffen, gepaart mit moderner Technik und KI-unterstützten Methoden. Um hier handlungsfähig zu bleiben, braucht es Resilienz. Auch der Gesetzgeber legt den Fokus auf die Bereitstellung rechtlicher Rahmenbedingungen, damit die Resilienz unserer Infrastruktur sowie unserer digitalen Gesellschaft gewährt bleibt.
Überblick:
Im Moment ist ein hohes Maß an Unsicherheit wahrzunehmen: Wir befinden uns in einer Zeit multipler Veränderungen und externer Einflüsse, die außerhalb unserer Kontrolle liegen. Zusätzlich findet gerade eine Neuausrichtung der geopolitischen Weltordnung statt. Diese Unsicherheiten spüren wir nicht nur als Zivilgesellschaft, sondern auch in unserem digitalen Umfeld.
Die Bedeutung resilienter Sicherheitssysteme
Im digitalen Umfeld erleben wir in den letzten zwölf Monaten eine Veränderung der Cyberangriffe, wie aus unserer Cybersecurity-Studie 2024 hervorgeht. Die Angriffe werden professioneller, die Angreifer:innen verwenden moderne Werkzeuge und nutzen KI (Künstliche Intelligenz)-unterstützte Methoden. Deepfakes und KI-gestützte Phishing-Nachrichten machen es immer schwerer, zwischen Realität und Fiktion zu unterscheiden. Die Integrität der Informationen steht damit massiv auf dem Prüfstand und wir müssen uns fragen, ob wir noch glauben können, was wir sehen. Resilienz wird unabdingbar und hilft uns, selbst in turbulenten Zeiten den Überblick zu bewahren und handlungsfähig zu bleiben. Die Bedeutung von resilienten Systemen, um ein Funktionieren der Wirtschaft zu gewährleisten, wurde uns in den letzten zwölf Monaten auf internationaler Ebene mehrmals eindrucksvoll aufgezeigt. Gleichzeitig haben wir so auch selbst einen Spiegel vorgehalten bekommen und müssen uns eingestehen, wie verwundbar wir sind. Regulatoren und Gesetzgeber haben diesen Umstand erkannt und entsprechende Vorgaben entwickelt, die als Anforderungen für resiliente Systeme erforderlich sind.
Wesentliche Regularien für den Cyberraum
Die Cybersecurity-Studie 2024 zeigt, dass sich Unternehmen bereits mit den großen, gängigen Regularien auseinandergesetzt haben. Das vorherrschende Thema ist dabei NIS2: 76 Prozent haben sich zum Zeitpunkt der Umfrage bereits mit dieser Richtlinie beschäftigt. Aber auch andere Themen kommen auf Unternehmen zu, mit denen sie sich befassen müssen. Die nachfolgende Grafik gibt eine Übersicht der wesentlichen Eckpunkte der Regularien NIS2, DORA, RKE und CRA.
Resilienz kritischer Einrichtungen
Ebenfalls in diesem Kontext von Bedeutung ist die Richtlinie über die Resilienz kritischer Einrichtungen (RKE-RL). Diese ist im Jänner 2023 in Kraft getreten. Im Oktober 2024 erfolgt die nationale Umsetzung durch das RKE-Gesetz. Der Schutzfokus liegt hier auf Risikobewertung, Business Continuity Management und organisatorischen Maßnahmen. RKE wird nicht auf freiwilliger Basis erfolgen – es sind Verpflichtungen und Strafbestimmungen vorgesehen. Im Jänner 2026 sind die erstmalige staatliche Risikobewertung und Ermittlung der kritischen Einrichtungen geplant, die sich im 4-Jahres-Rhythmus ereignen sollen. Im November 2026 findet dann erstmals die Risikobewertung durch die kritischen Einrichtungen statt, die ebenfalls alle vier Jahre zu erfolgen hat. Für Dezember 2026 stehen die Umsetzung von Resilienzmaßnahmen und die Meldung von Sicherheitsvorfällen durch die kritischen Einrichtungen auf dem Plan.
Verpflichtungen für betroffene Unternehmen
Neben der Durchführung von Risikobewertungen müssen die betroffenen Unternehmen im Rahmen der RKE-RL u. a. auch einen Resilienzplan erstellen sowie geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen umsetzen. Erhebliche Sicherheitsvorfälle müssen an die Behörde gemeldet werden. Auch Vor-Ort-Kontrollen sowie Audits durch die Behörde sind geplant. Außerdem müssen die Mitgliedsstaaten Vorschriften über Sanktionen erlassen, die wirksam, verhältnismäßig und abschreckend sind.
Kontrollierter Umgang mit Bedrohungen
Der Gesetzgeber legt bei den hier aufgezeigten Regularien den Schwerpunkt auf das Bereitstellen von rechtlichen Rahmenbedingungen für eine resiliente Infrastruktur und eine resiliente digitale Gesellschaft. Diese Resilienz ist wesentlich für das soziale Zusammenleben, damit die Zivilgesellschaft Infrastruktur und Versorgungseinrichtungen nutzen kann und auch Unternehmen sichere und widerstandsfähige Versorgungseinrichtungen haben. So werden die Grundlagen für einen resilienten Wirtschaftsraum geschaffen. Die Auslegung der einzelnen regulatorischen Anforderungen ist dabei wesentlich. Diese sind immer unter dem Aspekt der Technik und unter Berücksichtigung der Risikogegebenheiten zu etablieren. Nur ein funktionierendes Risikomanagement, das sowohl qualitativ als auch quantitativ Risiken erfasst, schafft es, Bruttorisiken, die Wirksamkeit von Kontrollen und folgend auch Nettorisiken zu identifizieren. Dann gelingt uns auch ein kontrollierter Umgang mit den sich laufend verändernden Bedrohungen.
1 NIS2 (Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union): in Österreich umgesetzt im Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024)
NIS2: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555
NISG 2024: https://www.parlament.gv.at/dokument/XXVII/ME/326/fnameorig_1621118.html
2 DORA Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2554
3 RKE-Richtlinie Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2557
4 CRA Verordnung des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnung (EU) 2019/1020
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52022PC0454
