Mit der nationalen Umsetzung der EU‑Richtlinie NIS‑2 wird Cybersicherheit erstmals systematisch und verbindlich auf eine deutlich breitere Basis gestellt. „Die NIS-2 erweitert den Kreis der verpflichteten Organisationen deutlich und standardisiert Cybersecurity nicht nur als reines IT-Thema, sondern vor allem auch als betriebswirtschaftliches Resilienzthema“, betont Georg Schwondra, Partner im Bereich Cyberrisk bei Deloitte Österreich. Sie verpflichte zu risikobasierten Sicherheitsmaßnahmen, ziehe die Geschäftsleitung in die Verantwortung und mache Lieferkettensicherheit zu einem festen Bestandteil, sodass Anforderungen auch an Dienstleister weitergereicht würden. Hinzu kämen verpflichtende Meldeprozesse bei erheblichen Vorfällen mit einer Frühwarnung binnen 24 Stunden und einer Meldung binnen 72 Stunden. Innerhalb definierter Fristen müssten zudem weitere Berichte abgegeben werden.
Wie sinnvoll ist das NIS‑2-Regelwerk? „Sinnvoll wirkt es dort am stärksten, wo es proaktives Risikomanagement, überprüfbare Wirksamkeit und Security-by-Design in Beschaffung und Betrieb tatsächlich erzwingt und damit den bisherigen Flickenteppich reduziert“, so Schwondra. „In Summe ist NIS‑2 sinnvoll, weil sie Cybersicherheit aus der Freiwilligkeit heraushebt und zu einer unternehmerischen Kernaufgabe macht“, sagt Gottfried Tonweber, Leiter der Cybersecurity der Ernst & Young Management Consulting GmbH.
Stichwort Verantwortung
Stefan Reisinger, Prokurist bei netconsult, einer IT-Tochter der Delta-Gruppe, hält die NIS-2-Richtlinie „zumindest weitgehend“ für sinnvoll: „Die Anforderungen an Informationssicherheit und Resilienz sind aus meiner Sicht ein notwendiger Schritt, um Unternehmen systematisch besser gegen Cyberrisiken zu schützen.“ Dabei gehe es nicht nur um regulatorische Pflichten, sondern vor allem um Verantwortung. Die Sicherheit – „und damit insbesondere die Sicherheit der Daten, sowohl unserer eigenen als auch jener unserer Kundinnen und Kunden“ – müsse jederzeit gewährleistet sein. Gerade in Zeiten zunehmender Digitalisierung und KI-gestützter Prozesse gewinne dieser Aspekt zusätzlich an Bedeutung.
So ist Cybercrime auch für die Immobilientreuhänder hochrelevant, auch wenn viele Unternehmen dieser Branche nicht unmittelbar als „kritische Infrastruktur“ wahrgenommen werden. „Die Immobilienwirtschaft arbeitet mit besonders sensiblen Daten wie Miet‑ und Eigentümerdaten, Zahlungsströmen, Treuhandkonten, Grundbuchauszügen, Bau‑ und Vertragsunterlagen. Gleichzeitig ist der Digitalisierungsgrad hoch – etwa durch Onlineportale, E‑Mail‑Kommunikation, Fernwartung von Gebäudetechnik oder Cloud-basierte Verwaltungssoftware“, erklärt Tonweber.
Auch für Georg Schwondra ist Cybercrime für Immobilientreuhänder „operativ hochrelevant, weil in der Branche sensible Daten und hohe Zahlungsflüsse zusammenkommen und viele Prozesse über E-Mail und externe Partner laufen“. Das mache Social Engineering, Kontenübernahmen und Zahlungsumleitungsbetrug im Stil von Business-E-Mail-Compromise besonders naheliegend, beispielsweise durch manipulierte Rechnungsdaten oder IBAN-Tausch im laufenden Vorgang. Ransomware könne zusätzlich Verwaltung, Abrechnung und Objektkommunikation lahmlegen und damit unmittelbar Liquidität, Servicefähigkeit und Reputation treffen. Durch Smart Buildings und IoT-Geräte steige die Angriffsfläche weiter, weil Gebäudetechnik und Zutrittslösungen zunehmend vernetzt seien und über Jahre betrieben würden.
Kollektives Lernsystem
Kann NIS‑2 das „Versprechen“ eines besseren Informationsflusses einlösen? Tonweber antwortet: „Grundsätzlich ja, allerdings nicht automatisch. Die Richtlinie ist genau darauf ausgelegt, aus einzelnen Vorfällen ein kollektives Lernsystem zu machen: Meldepflichten, Austausch von Informationen und die zentrale Auswertung durch staatliche Stellen sollen Muster sichtbar machen, bevor sich Angriffsszenarien flächendeckend ausbreiten.“
Ob das gelinge, hänge jedoch von drei Faktoren ab. Erstens von der Qualität der Meldungen. Denn Unternehmen müssen Vorfälle nicht nur formal melden, sondern inhaltlich so aufbereiten, dass daraus Erkenntnisse ableitbar sind. Zweitens vom Vertrauen in die Behörden. Nur wenn Unternehmen darauf vertrauen, dass Meldungen nicht primär sanktionierend, sondern lernorientiert behandelt werden, wird der Informationsfluss funktionieren. Und schließlich drittens von der praktischen Umsetzung im Unternehmen. NIS‑2 ist kein rein regulatorisches Projekt. Sie wirkt nur dann präventiv, wenn Unternehmen die Vorgaben tatsächlich in ihre Prozesse, Schulungen und Entscheidungsstrukturen integrieren.
Konkret „kann“ NIS‑ 2 vor allem drei Dinge (*):
1. Sie erweitert den Kreis der betroffenen Unternehmen massiv. Statt rund hundert Organisationen wie unter der alten NIS‑Regelung sind künftig etwa 4.000 Unternehmen aus 18 gesellschaftlich relevanten Sektoren erfasst, darunter zahlreiche Dienstleister und mittelgroße Unternehmen.
2. Sie verpflichtet Unternehmen zu strukturiertem Cyberrisikomanagement. Gefordert sind nicht nur technische Schutzmaßnahmen, sondern auch organisatorische und operative Vorkehrungen, klare Verantwortlichkeiten im Management sowie die Absicherung von Lieferketten.
3. Sie schafft ein nationales Lagebild durch verbindliche Meldepflichten. Sicherheitsvorfälle müssen binnen kurzer Fristen gemeldet werden. Dadurch entsteht erstmals ein konsistenter Informationsfluss an eine zentrale Cybersicherheitsbehörde, die beim Innenministerium angesiedelt ist.
Für Immobilientreuhänder besonders relevant:
- Phishing und Social Engineering, etwa manipulierte Zahlungsanweisungen
- Ransomware‑Angriffe auf Verwaltungs‑ oder Buchhaltungssysteme
- Datenabfluss mit erheblichen Datenschutz‑ und Reputationsfolgen
(*) Quelle: Gottfried Tonweber, Ernst & Young
Kurzum: „Die NIS‑2 erhöht nicht nur den regulatorischen Druck, sondern bietet – richtig umgesetzt – die Chance, Cyberrisiken frühzeitiger zu erkennen und branchenübergreifend besser zu beherrschen“, so Tonweber.
