Die ersten Anforderungen des Cybersicherheitsgesetzes haben begonnen, Unternehmer zu binden. Benachrichtigungen über die Kategorisierung von Unternehmen als ’schlüssel‘ oder ‚wichtig‘ im Bereich der Cybersicherheit sind in den letzten Wochen in den Postfächern kroatischer Unternehmen eingegangen, was den Schutz der digitalen Infrastruktur erheblich ernsthafter macht. Die EU-Richtlinie NIS2 ist seit dem letzten Jahr in Kraft, oder in Kroatien das Cybersicherheitsgesetz, das nun von einer viel größeren Anzahl von Unternehmen regelmäßig und systematisch verwaltet werden muss als zuvor.
—
—Interessant ist, dass Kroatien zu den wenigen EU-Mitgliedstaaten gehört, die die NIS2-Richtlinie innerhalb der vorgegebenen Frist in nationales Recht umgesetzt haben, betont Marko Gulan, ein Cybersicherheitsberater und Eigentümer von Astera Advisory, sodass die Verpflichtungen für Unternehmen hinsichtlich Sicherheitsinformationslösungen bereits begonnen haben. Die erste wichtige Frist rückt bereits näher – nächste Woche.
– Das neue Cybersicherheitsgesetz und die begleitende Verordnung sind bereits in Kraft, und der Prozess der Kategorisierung und Anpassung der Betriebe von Unternehmen, die unter dieses Gesetz fallen, wird derzeit umgesetzt. Die nächste wichtige Frist ist der 5. Mai 2025, bis zu dem die verpflichteten Stellen ein Meldesystem für Vorfälle an die nationale Plattform einrichten müssen – sagt Gulan.
Die kritischste Phase
Einige der Verpflichtungen umfassen beispielsweise die Ernennung verantwortlicher Personen für Cybersicherheit, die Durchführung und Pflege von Risikoanalysen, die Entwicklung von Notfallplänen, das Management der Geschäftskontinuität, die Durchführung von IT-Systemprüfungen und Schulungen, die Implementierung technischer Lösungen für die Sicherheit der Lieferkette, Kryptographie und die Inventarisierung von Netzwerk- und Hardwarevermögen. Dies sind viele neue Anforderungen, insbesondere für kleine und mittlere Unternehmen, die oft über begrenztes Wissen über Cybersicherheit und finanzielle Mittel zur Aufrechterhaltung verfügen, während große Unternehmen, insbesondere in den Finanz- und Technologiesektoren, dies schon länger besser bewältigen. Cybersicherheit ist jedoch längst kein Anliegen mehr, das nur die ‚Großen‘ betrifft. Bei zunehmend ausgeklügelten Hackerangriffen ist der größte Fehler zu glauben, dass es uns nicht passieren wird.
– Für viele Stellen, insbesondere für solche mit begrenzten Ressourcen, ist der Zeitrahmen bereits sehr herausfordernd. Die Einhaltung des Gesetzes ist keine Option, sondern eine gesetzliche Verpflichtung, mit erheblichen reputations- und finanziellen Konsequenzen im Falle der Nichteinhaltung – betont Gulan.
—
—Das Cybersicherheitsgesetz ist nicht nur eine Formalität, sondern es initiiert sehr konkrete Fristen für die Einhaltung, merkt Krešimir Filla, ein Cybersicherheitsberater bei Combis, an. Wir befinden uns derzeit in der kritischsten Phase der Kategorisierung von Stellen, sagt er.
– Für Unternehmen, die kategorisiert werden, sind die Verpflichtungen klar – innerhalb von 30 Tagen nach Erhalt der Benachrichtigung müssen sie die relevanten Behörden über bedeutende Sicherheitsvorfälle informieren. Eine noch wichtigere Frist ist jedoch die 12 Monate für die vollständige Einhaltung des Gesetzes. Für diejenigen, die noch nicht kategorisiert sind, sollten die Vorbereitungen sofort beginnen, denn sobald die Lösung eintrifft, beginnt die Uhr zu ticken, und ein Jahr für die Umsetzung dieser Änderungen ist tatsächlich eine sehr kurze Frist – warnt Filla.
Compliance-Maßnahmen sind nicht nur technischer Natur; sie reichen von der Verwaltung der Sicherheit der Lieferkette, der Einrichtung starker Meldemechanismen, der Entwicklung von Vorfallmanagementprozessen, der Gewährleistung der Geschäftskontinuität und der Etablierung der Netzwerksicherheit bis hin zu klar definierten Verantwortlichkeiten der Leitungsorgane und Programmen zur Sensibilisierung der Mitarbeiter. Das Bewusstsein der Mitarbeiter für Cybersicherheitsrisiken in Kroatien ist sehr wichtig, da der menschliche Faktor die schwächste Glied bleibt.
Es passiert nicht anderen
Jüngste Hackerangriffe in Kroatien haben die Illusion zerstört, dass dies ‚anderen‘ passiert, bestätigt Robert Preskar von ASEE Kroatien.
—
—Die Anzahl der Angriffe ist sicherlich viel höher, und Unternehmen erkennen die Notwendigkeit, Sicherheitslösungen zu implementieren, insbesondere im Kontext neuer regulatorischer Anforderungen. Obwohl das Bewusstsein bisher am stärksten im Finanzsektor ausgeprägt war, ist klar, dass dieser Rahmen nun auf andere Branchen ausgeweitet wird, die für das sozioökonomische Funktionieren entscheidend sind – Energie, Gesundheitswesen, Transport und sogar öffentliche Verwaltung – fügt Preskar hinzu.
Trotz Fortschritten wird die Umsetzung der verpflichtenden Maßnahmen in der Praxis weiterhin verzögert, oft aufgrund wahrgenommener Komplexität oder mangelnder Kapazitäten.
– Der menschliche Faktor bleibt eine der größten Herausforderungen – Mitarbeiter sind oft unzureichend geschult und sich ihrer Rolle in der Sicherheitskette nicht bewusst. Viele Unternehmen haben auch immer noch keine angemessen entwickelten Pläne zur Geschäftskontinuität oder Meldesysteme für Vorfälle, die zentrale Anforderungen der neuen Verordnung sind. NIS2 bringt auch ein neues Maß an Verantwortung für das Management von Unternehmen, das persönlich für Sicherheitsverletzungen verantwortlich ist, und hebt die Sicherheit somit auf eine strategische Ebene – sagt Preskar.
Gulan merkt an, dass es seit 2020 zwar einen sichtbaren positiven Wandel in der Wahrnehmung der Bedeutung von Cybersicherheit gegeben hat, der Wandel jedoch oft auf theoretischer Ebene stoppt.
– Sicherheit wird der IT delegiert, obwohl es sich um ein strategisches Risikomanagement-Thema handelt, das die Einbeziehung der Rechtsabteilung, der Finanzen, des Managements und der Geschäftsplanung erfordert. Die gefährlichste Fehlannahme ist das Gefühl falscher Sicherheit – zum Beispiel, sich auf Backups zu verlassen, obwohl Angreifer oft zuerst auf Backup-Systeme abzielen. Ein zentrales Risiko bleibt das Fehlen eines klaren und aktuellen Bestands an Vermögenswerten. Wenn wir nicht wissen, was wir schützen, können wir Risiken nicht effektiv managen.
Filla betont, dass das Bewusstsein für Cybersicherheit in Kroatien definitiv wächst, hauptsächlich dank der Aktivitäten relevanter Behörden und der Verabschiedung des Gesetzes. Es gibt jedoch immer noch die weit verbreitete Fehlannahme, dass Cybersicherheit ein ‚IT-Problem‘ ist, anstatt ein strategisches Thema für die gesamte Organisation.
Die größten Bedrohungen und am stärksten gefährdeten Sektoren
Laut dem SOA-Bericht gab es in den letzten Monaten einen signifikanten Anstieg der staatlich geförderten und anderer fortgeschrittener Cyberangriffe in Kroatien, und dieser Trend wird voraussichtlich anhalten. Angriffe richten sich nicht nur gegen den öffentlichen Sektor, sondern auch gegen kritische Infrastrukturen – Energie, Transport, Gesundheitswesen. Lovre Gabrilo, ein Cybersicherheitsspezialist bei Microsoft, fügt hinzu, dass laut dem Microsoft Digital Defense Report für 2024 die Nutzer täglich bis zu 600 Millionen Angriffe verzeichnen. Staatlich geförderte Angriffe zielen am häufigsten auf den IT-Sektor, Bildungseinrichtungen und Regierungssysteme ab.
—
—Die häufigsten sind Ransomware, Malware, Bots und Würmer, wobei die Einstiegspunkte kompromittierte E-Mails, infizierte USB-Sticks oder unsichere Software aus dem Internet sind. Eine besondere Form der Bedrohung ist der DDoS-Angriff, der Systeme mit Verkehr überflutet und Ausfälle und Schäden verursacht. Angriffe auf operationale Technologie, die kritische Infrastrukturen wie Wasser- und Stromversorgung verwaltet, werden häufiger. Darüber hinaus verwenden von Gewinn motivierte Cyberkriminelle die sogenannte doppelte Erpressung – sie fordern eine Zahlung für die Datenentschlüsselung und zusätzlich dafür, dass gestohlene Daten nicht offengelegt werden. Oft ist ihr primäres Ziel genau der Datendiebstahl – erklärt Gabrilo.
Es gibt auch einen Anstieg von Identitätsdiebstahl-Angriffen auf Einzelpersonen und Marken, insbesondere in den Bereichen Software, Finanzen, Einzelhandel und Unterhaltung, wobei das Hauptziel ungeschützte digitale Identitäten sind – 99 Prozent solcher Angriffe zielen darauf ab, Passwörter zu stehlen oder zu brechen.
Mitarbeiter in Abteilungen, die mit finanziellen Überweisungen umgehen, sind am stärksten gefährdet – typischerweise die Einkaufsabteilung, insbesondere in Produktionsunternehmen, und Finanzen. Alle Mitarbeiter, die täglich Informationen bearbeiten, auf Systeme zugreifen und mit externen Partnern kommunizieren, fügt Preskar hinzu.
– Die Implementierung von Multi-Faktor-Authentifizierung (MFA), Identitätsmanagementsystemen (IAM) sowie der Zugang zum „Zero Trust“-Modell verringert die Fehleranfälligkeit und erhöht erheblich das Schutzniveau. Ohne die Einbeziehung und das Bewusstsein der Mitarbeiter selbst ist jedoch keine technische Lösung ausreichend. Daher ist eine Kombination aus Bildung, Prozessen und Technologie der Schlüssel zu einem effektiven Schutz – schließt Preskar.
Ein Experte in jedem Unternehmen – Ja oder Nein?
Auf die Frage, ob jedes Unternehmen einen Cybersicherheitsexperten haben sollte, antwortet Gabrilo – absolut ja, angesichts der Tatsache, dass alle Unternehmen mehr oder weniger digitalisiert sind und den heutigen Cyberbedrohungen gegenüberstehen.
– Für Stellen, die unter die NIS2-Richtlinie und das Cybersicherheitsgesetz fallen, ist es zwar nicht ausdrücklich angegeben, aber aus den Verpflichtungen geht klar hervor, dass eine solche Funktion dringend benötigt wird. Es ist wichtig zu betonen, dass dies keine IT- oder technische Funktion ist, sondern eine Managementfunktion, die direkt an das Management des Unternehmens berichten sollte – sagt Gabrilo und fügt hinzu, dass Unternehmen so schneller reagieren können.
Rechtlich müssen kategorisierte Unternehmen eine verantwortliche Person für die Sicherheit ernennen und die Umsetzung von Sicherheitsmaßnahmen sicherstellen, fügt Gulan hinzu.
– Aber auch außerhalb des rechtlichen Rahmens sollte aus geschäftlicher Sicht jedes seriöse Unternehmen, unabhängig von der Größe, einen internen oder externen Experten haben, der regelmäßig Risiken analysiert, Bedrohungstrends überwacht und die Sicherheitsstrategie überarbeitet. Wenn wir als Unternehmen Vermögenswerte, Maschinen, Verträge, Forderungen und Geld schützen, dürfen Cybersicherheitsvermögen keine Ausnahme sein. Die Sicherheit dem Zufall zu überlassen, ist heute gleichbedeutend mit geschäftlicher Nachlässigkeit mit unermesslichen Konsequenzen – schließt Gulan.
