Wir schreiben das Jahr 2040. Die Evolution des Otto Normalverbraucher zum Otto Digitalverbraucher liegt weit über eine Dekade zurück und beschäftigt den öffentlichen Sektor zunehmend. Vernetzung in allen Lebensbereichen ist zur täglichen Normalität geworden. Anhand einer kurzen Geschichte zeigen wir, warum NIS 2 ein wichtiger Baustein für Cyber Resilience der Zukunft ist.

Eine kleine Geschichte aus 2040: Der individuelle Arbeitswochenbeginn von Otto Digitalverbraucher fällt diese Woche auf Mittwoch, 10:00 Uhr vormittags. Das hat seine MeLife-App anhand seines individuellen zirkadianen Rhythmus, der Arbeitslast der vergangenen Wochen, den saisonalen Wetterbedingungen und vielen weiteren Daten festgelegt. Jedoch schreckt Otto Digitalverbraucher heute bereits um 6:00 Uhr unvorhergesehen aus seinem Tiefschlaf: Die automatischen Jalousien vor den Schlafzimmerfenstern fahren geräuschvoll hoch, nur um sofort zischend wieder herunterzufallen. Nur wenige Sekunden später beginnt der Feueralarm in seinem MeHeim ohrenbetäubend zu kreischen. Hektisch greift Otto Digitalverbraucher nach seinem MePhone, um zu seiner MeHeim Smart Home App zu navigieren. Von dort aus kann er so ziemlich jede Funktion seines MeHeims steuern und überwachen. Doch der Screen bleibt schwarz.

Problem behoben

Verärgert hastet Otto Digitalverbraucher Richtung Arbeitszimmer, in welchem er die MePhone Backup-Station verwahrt. Hinter einem außer Kontrolle geratenen wassersprühenden Blumentopf zieht Otto Digitalverbraucher einen altmodischen Schlüssel hervor und beglückwünscht sich innerlich: Wie gut, dass er die MePhone Backup-Station nicht in einem mit MeHome verbundenen digitalen Safe aufbewahrt, denn dann hätte er jetzt vielleicht keinen Zugang dazu. Einige wenige Swipes später hat er das MeHome Zentralsystem aus dem Backup wiederhergestellt. Der Feueralarm bricht ab und der Blumentopf leitet das Entwässerungsprogramm ein. Beruhigt lässt sich Otto Digitalverbraucher auf seiner Arbeitszimmercouch nieder.
Ein Dreiklang kündigt eine Änderung in seinem MeLife Tagesplan an: „8 bis 9 Uhr: Einkaufen gehen“ steht nun in seinem Tagesplan, der jedoch augenblicklich durch eine Eilmeldung der nationalen Sicherheitsbehörde überdeckt wird: „ACHTUNG – STÖRUNGEN im internationalen MeHome-System. An einer Lösung wird gearbeitet“.

Die Moral aus der Geschichte

Im konkreten Beispiel konnte Otto Digitalverbraucher im eigenen Bereich adäquat auf die unerwartete Störung reagieren: Er verfügte über das erforderliche Wissen, um lokal geeignete Vorbereitungen zu treffen. Auch lässt die zeitnahe erfolgte Information über den Sicherheitsvorfall seitens der fiktiven nationalen Sicherheitsbehörde auf ein effektives Incident Response Management/Sicherheitsvorfall Management auf (inter)nationaler Ebene hoffen. Was aber, wenn Otto Digitalverbraucher als passiver und ungeübter Digitalkonsument in eine solche Situation gerät? Wird er dann überhaupt noch sein Haus verlassen können? Und was geschieht, wenn nicht nur ein Otto Digitalverbraucher betroffen ist, sondern ganze Otto Bevölkerungsgruppen, Branchen, Staaten oder Regionen? All dies sind Fragen bzw Risikoszenarien, die es zu adressieren gilt, bevor ein solches oder ähnliches Zukunftsszenario zur gelebten Gegenwart wird. Denn eines ist gewiss: Auch die fortschrittlichsten Cybersicherheitsvorkehrungen werden Sicherheitsvorfälle wie diesen nicht hundertprozentig verhindern können. Jedoch entscheidet sowohl die Qualität der getroffenen Maßnahmen als auch jene der im Krisenfall zur Verfügung stehenden Ressourcen über die Häufigkeit und Tragweite von Sicherheitsvorfällen – und damit über das Schadensausmaß in einer zunehmend vernetzten Welt. Denn: Widerstandsfähigkeit ist im digitalen Zeitalter wichtiger denn je. Das hat nicht zuletzt die COVID-19-Krise gezeigt: 38 Prozent der befragten österreichischen Unternehmen haben laut der aktuellen KPMG Studie „Cyber Security in Österreich“ in der Pandemie eine Zunahme von Cyberangriffen festgestellt.

Widerstand ist nicht zwecklos

Die Fähigkeit eines Unternehmens oder einer Organisation, Geschäftsprozesse auch in Anbetracht widriger Cyberereignisse (zB Systemausfälle oder Cyberangriffe) aufrechtzuerhalten, wird als Cyber Resilience bezeichnet. Um diese auf nationaler als auch europäischer Ebene zu stärken, wurde 2016 die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union durch das Europäische Parlament verabschiedet (NIS-Richtlinie (EU) 2016/1148). Mit ihr wurde erstmals ein Versuch unternommen, ein einheitliches IT-Sicherheitsniveau für kritische Infrastruktur in Europa zu schaffen. Ende 2018 wurde die NIS-Richtlinie in Österreich mit dem Netz- und Informationssystemsicherheitsgesetz (NISG) umgesetzt.

Zwei Jahre später, am 16. Dezember 2020, stellt die Europäische Kommission nun einen neuen Legislativvorschlag vor („NIS 2-Richtlinie“), der die gültige NIS-Richtlinie aufheben und verbessern soll. Zu einem Zeitpunkt, an welchem sich viele betroffene österreichische Unternehmen noch mitten in der Implementierungsphase der vorgegebenen Maßnahmen befinden – und manch einer fragt sich: Brauchen wir das alles überhaupt? Vonseiten der Kommission wurde diese Frage mit einem klaren „ja“ beantwortet. Denn eine Analyse ergab, dass die Cyberabwehrfähigkeit der in der EU tätigen Unternehmen unzureichend und die Widerstandsfähigkeit der Mitgliedsstaaten und Sektoren uneinheitlich ist. Gleichzeitig wurde das Fehlen einer gemeinsamen Krisenreaktion der Staaten attestiert. Darüber hinaus wurde ein unzureichendes gemeinsames Verständnis der Mitgliedsstaaten über die wichtigsten Bedrohungen und Herausforderungen erkannt.1 Alles keine guten Voraussetzungen für Cyberresilienz.

Der Betroffenenkreis von NIS 2 umfasst auch Einrichtungen des öffentlichen Bereichs.

Vieles neu geregelt

NIS 2 adressiert diese Mängel. Das Wichtigste gleich vorab: Zukünftig gelten verschärfte Cybersicherheitsregelungen für einen maßgeblich erweiterten Betroffenenkreis. Dies geschieht folgendermaßen: Der Anwendungsbereich der geltenden NIS-Richtlinie wird erweitert. Künftig umfasst dieser weitere Sektoren wie zB den Lebensmittelsektor, Post- und Kurierdienste sowie die öffentliche Verwaltung.

Darüber hinaus wird eine klare Obergrenze für die Größe eingeführt, womit alle mittleren und großen Unternehmen sowie öffentlichen Einrichtungen in ausgewählten Sektoren einbezogen werden. Ein entscheidender Unterschied zur NIS-Richtlinie ist zudem die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen – im Gegensatz zu der derzeit gültigen Unterscheidung zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste. Das Thema Sicherheit der Lieferketten und Beziehungen zwischen Anbietern rückt in den Vordergrund, sowohl auf nationaler als auch auf europäischer Ebene. Zudem wird der Umfang der vorgeschriebenen Maßnahmen zum Cybersicherheits-Risikomanagement und zu den Meldepflichten für Cybervorfälle strenger geregelt und eine Meldepflicht für Cyberbedrohungen eingeführt.2

Cybersicherheit mitdenken

Der Betroffenenkreis von NIS 2 umfasst also auch Einrichtungen des öffentlichen Bereichs. Also jene Einrichtungen, die über einen besonders interessanten, vielleicht sogar hinsichtlich ihrer Frühzeitigkeit, einzigartigen Einblick in Entwicklungen in unserer Gesellschaft verfügen. Somit haben sie auch für die Steigerung und Erhaltung von Cyber-Resilienz unmittelbar relevante Informationen. Ein Beispiel hierfür ist die zwischen 2015 und 2019 im Auftrag der isländischen Regierung in Einrichtungen des öffentlichen Bereichs durchgeführte Langzeitstudie zur Viertage-Arbeitswoche. Die Konsequenz der als „überwältigender Erfolg“ hinsichtlich Produktivität und Wohlbefinden der Studienteilnehmer gefeierten Studienergebnisse: Rund 86 Prozent der gesamten isländischen Erwerbsbevölkerung sind entweder zu kürzeren Arbeitszeiten übergegangen oder haben das Recht auf Verkürzung ihrer Arbeitszeiten erworben (Stand Juni 2021).3 Die potenziellen Auswirkungen der durch die Arbeitszeitreduktion veränderten Arbeits- und Kommunikationsweisen bzw der zu diesem Zweck möglicherweise eingesetzten digitalen Technologien auf die Cybersicherheit der teilnehmenden Einrichtungen waren bedauerlicherweise nicht Teil der Studie. Es ist jedoch davon auszugehen, dass Studien wie diese wertvolle Erkenntnisse zu den mit neuen gesellschaftlichen Entwicklungen verbundenen Cyberrisiken liefern können. Daher unser Appell an alle Entscheidungsträger der öffentlichen Verwaltung, Studiendurchführer und Otto Digitalverbraucher von morgen: Denken Sie Cybersicherheit in Ihrem Bereich mit! Denn die Einblicke von heute stärken die Cyber Resilience von morgen.

1 Quelle: https://ec.europa.eu/commission/presscorner/detail/de/QANDA_20_2392 (Abruf: 15. August 2021)
2 Quelle: https://ec.europa.eu/commission/presscorner/detail/de/QANDA_20_2392 (Abruf: 15. August 2021)
3 Quelle: https://autonomy.work/wp-content/uploads/2021/06/ICELAND_4DW.pdf (Abruf: 15. August 2021)