Wie sich NIS 2 auf Mitarbeiter auswirkt
Schulungen und Zutrittskontrollen
Interview. Die Anpassung an die NIS-2-Richtlinie wird in Firmen nicht nur IT-Abteilungen beschäftigen, auch andere Angestellte sind betroffen. Der KURIER hat mit Sebastian Klocker, Datenschutzexperte beim Österreichischen Gewerkschaftsbund, gesprochen.
KURIER: Welche konkreten Maßnahmen müssen Unternehmen umsetzen, um NIS-2-konform zu sein?
Sebastian Klocker: Es müssen Risikoanalysen im kompletten Unternehmen durchgeführt werden. Es muss klar festgelegt werden, wer was zu tun hat, wenn es zu einer Cyberattacke oder einer Erpressung mittels Ransomware kommt. Zugriffsberechtigungen sind auch enorm wichtig. Wer hatte wann Zugriff auf Computer, was hat die Person da gemacht?
Welche Änderungen wird es für Mitarbeiter geben?
Beim Personalmanagement kann es für Stellen in sensiblen Bereichen zu Hintergrundchecks kommen. Ein wichtiger Aspekt werden auch Fortbildung und Sensibilisierungsmaßnahmen sein.
Für Vorstand, Aufsichtsrat und Geschäftsführung sind Sicherheitsschulungen Pflicht. Anderen Mitarbeitern müssen Schulungen angeboten werden. Was soll darin vermittelt werden?
Es wird definitiv darum gehen, Wissen zur
Erkennung und Bewertung von Cybersicherheitsrisiken zu erlangen. Für jeden Angestellten wird es unterschiedliche Anforderungen geben, je nachdem, in welchem Bereich die Person arbeitet. Im Büroalltag ist Phishing eines der größten Probleme. Mit dem Aufkommen von generativer Künstlicher Intelligenz ist die Gefahr gestiegen. Wichtig wäre, dass Mitarbeiter wissen, wie sie eMails prüfen können. Außerdem muss es eine Meldemöglichkeit geben.
Wie streng müssen Zugangskontrollen gestaltet sein? Reicht eine Chipkarte oder braucht es biometrische Methoden wie einen Fingerabdruck-Scanner?
Jedes Unternehmen muss das anhand seiner Risikoanalysen selbst einschätzen. Es muss immer das gelindeste, am wenigsten invasivste Mittel genommen werden, das nicht in die Privatsphäre der Mitarbeiter eingreift.
Was wäre nicht erlaubt?
Videoüberwachung von jedem Arbeitsplatz etwa. Bei Maßnahmen, die das Potenzial haben, die Menschwürde anzugreifen, ist eine Vereinbarung mit dem Betriebsrat notwendig. Der wird sich nicht querstellen, wenn eine Maßnahme notwendig ist, aber Daten, die dabei anfallen, dürfen wirklich nur zu Zwecken der IT-Sicherheit und nicht zur Leistungskontrolle eingesetzt werden.