NIS Richtlinie – Gesetz zur Cybersicherheit – Herausforderung für Unternehmen
NIS Richtlinie - Gesetz zur Cybersicherheit – Wer muss geschult werden?
Für Unternehmen, Institution und Regierungen ist das Thema Digitalisierung, und die damit verbundene Cybersicherheit, eine andauernde Herausforderung. Diesbezüglich müssen Aktionen und Reaktionen stets zeitnahe und umsichtig stattfinden, um vor allem das Allgemeinwohl zu sichern.
Bisher wurde Cybersicherheit allerdings nur als ein Teilaspekt von Datenschutz oder Cyberkriminalität behandelt. Mit dem NIS-Gesetz (Netz- und Informationssicherheit) gibt es erstmals eine EU-Richtlinie, die sich mit dem Thema Cybersicherheit konkret auseinandersetzt.
Das von jedem Land der EU umzusetzende NIS-Gesetz, soll ein Funktionieren des Gemeinwesens sicherstellen, Versorgungsengpässe vermeiden und eine mögliche Gefährdung der öffentlichen Sicherheit durch Cyberkriminalität verhindern.
Liest man das NIS-Gesetz, fällt einem aber auf, dass etliche Teile davon in einer sehr ähnlichen Form schon in der DSGVO vorkommen. Wo es aber bei der DSGVO um den Schutz von persönlichen Daten geht, steht bei der NIS der systematische Erhalt von netz- und informationstechnischer Infrastruktur im Vordergrund.
Wen betrifft das Gesetz konkret?
Die GesetzgeberInnen unterscheiden im Sinne des NIS-Gesetzes zwischen zwei Dienstleistern:
„Betreiber wesentlicher Dienste“ und „Anbieter digitaler Dienste“
Betreiber wesentlicher Dienste sind kritisch für die Infrastruktur eines Landes und sind in den Branchen Energie, Verkehr, Gesundheit, Bankwesen, Trinkwasser und digitale Infrastruktur zu finden.
Beispielsweise in Österreich ermittelt das Bundeskanzleramt die Betreiber wesentlicher Dienste und verständigt diese darüber, dass Sie eine gemeinwohlsichernde Rolle im Land haben.
Anbieter digitaler Dienste sind grundsätzlich Online-Marktplätze, Suchmaschinen und Cloud Computing Dienste. Ausgenommen sind dabei natürliche Personen, Kleinstunternehmen und kleine Unternehmen mit weniger als 50 MitarbeiterInnen und Jahresumsatz bzw. Jahresbilanz von unter zehn Millionen Euro.
Beide Gruppen stehen in der Pflicht die neuen Richtlinien zu befolgen, in dem sie z.B. konkrete Strategien zur Risikobehandlung entwickeln und Sicherheitsvorfälle unverzüglich melden.
Neue Chancen
Viele UnternehmInnen sind durch das NIS-Gesetz teilweise verunsichert und vor neue Herausforderungen gestellt worden. Zwar betrifft es nicht jedes Unternehmen gleichermaßen, wie es der Fall bei der DSGVO war, jedoch ist ein vertiefender Einblick in dieses Thema ratsam.
Neben dem wichtigsten Aspekt, der Sicherheit, entstehen dank dem NIS-Gesetz neue Geschäftsfelder und auch Chancen für seine Kunden ein noch bedeutenderer Partner zu werden.
NIS – Richtig schulen
Beim Entwickeln einer Schulung zum NIS-Gesetz, steht man natürlich vor der Herausforderung, die verschiedenen Zielgruppen bei diesem Thema unterschiedlich anzusprechen.
Für das systembetreibende und -erhaltende Personal sind umfassende Schulungen mit aufwendigen Workshops im Rahmen von durch ExpertInnen erstellte Blended Learning Maßnahmen eine sehr verantwortungsbewusste Vorgehensweise.
Aber auch die MitarbeiterInnen ohne Verantwortung gegenüber beispielsweise der IT-Infrastruktur sollten geschult werden. Bei diesen MitarbeiterInnen steht eine umfassende Schulung zum NIS-Gesetz wahrscheinlich nur bedingt in einer vertretbaren Relation zwischen Aufwand und Nutzen.
Die Schulungsform MicroLearning ist in Hinsicht auf zeitliche und finanzielle Ressourcen bei diesem Thema die sinnvollste Konzeptgrundlage. Damit können die essenziellen Informationen und die gewünschten Vorgehensweisen gezielt und ohne Streuverluste zeitnah geschult werden.
Wie eine MicroLearning-Schulung aussehen kann, zeigt die NIS-Schulung-Demo von KnowledgeFox.
Multiple-Choice-Didaktik wird dabei eingesetzt, um mit einem im Vordergrund stehenden und wiederholbaren Assessment die MitarbeiterInnen zu motivieren auch technische Themen zu lernen.
Vorliegende Erfahrungs- und Nutzer-Engagement-Werte sowie Prüfungsergebnisse belegen, dass geeignet aufbereitete Inhalte so schnell und erfolgreich geschult werden könne.
Damit können Unternehmen und Institutionen (kosten-)effizient die eigenen MitarbeiterInnen die Verhaltensweisen für den Notfall schulen. Damit wird auch ein Verantwortungsbewusstsein gefördert, dass im Bedarfsfall korrelierende Kundenanliegen kompetent an die richtige Stelle weitergegeben werden müssen, was wiederum den bewusst schulenden Arbeitgeber auszeichnet.
Quellen:
https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20010536
https://www.wko.at/site/it-safe/cybersicherheit-das-neue-nisg.html
https://www.parlament.gv.at/PAKT/VHG/XXVI/ME/ME_00078/index.shtml