NIS2-Richtlinie

Neue Regelungen zur Erhöhung der Cybersicherheit in der EU


Die folgenden Informationen erfolgen auf Basis des Begutachtungsentwurfs zum Netz- und Informationssystemsicherheitsgesetz 2024 vom 3. April 2024 und können sich daher im Laufe des Begutachtungs- und Gesetzwerdungsprozesses noch ändern.  Es kann demnach keine Gewähr für die Aktualität, Richtigkeit und Vollständigkeit der zur Verfügung gestellten Informationen übernommen werden. Haftungsansprüche gegen die Kammern der Ziviltechniker:innen sind ebenfalls ausgeschlossen.

Allgemeines

Derzeit gilt die NIS-Richtlinie aus 2016, die in Österreich mit dem NIS-Gesetz (Netz- und Informationssystemsicherheitsgesetz) umgesetzt wurde. Diese Regelungen betreffen vorwiegend Unternehmen der kritischen Infrastruktur und Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen und Cloud Computing-Dienste).

Mit der neuen NIS2-Richtlinie werden für Unternehmen bestimmter Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen gelten. Die NIS2-Richtlinie soll bis 17. Oktober 2024 in den EU-Mitgliedstaaten umgesetzt werden (in Ö mit dem Netz- und Informationssystemsicherheitsgesetz 2024 und weiteren zu erlassenden Verordnungen), wobei die neuen Regelungen auf Basis des vorliegenden Gesetzesentwurfs voraussichtlich ab 18. Oktober 2024 für die betroffenen Einrichtungen gelten werden, weil im derzeitigen Gesetzesentwurf keine Übergangsfristen vorgesehen sind.

Ziel der Gesetzgebung ist die Steigerung der Cyberresilienz betroffener Einrichtungen. Der bisherige Anwendungsbereich wird deutlich ausgeweitet, um eine umfassende Abdeckung der Sektoren und Dienste zu gewährleisten, die im Binnenmarkt für grundlegende gesellschaftliche und wirtschaftliche Tätigkeiten von entscheidender Bedeutung sind.

Nachdem die geforderten Maßnahmen (z.B. Risikomanagementsystem, Datensicherungskonzepte) entsprechende Vorlaufzeit benötigen, ist es empfehlenswert mit der Umsetzung der Regelungen im Unternehmen rechtzeitig zu beginnen.

1. Wer ist von NIS2 betroffen?

Betroffen sind große Unternehmen

  • mit mindestens 250 Beschäftigten oder über 50 Mio. Euro Jahresumsatz und über 43 Mio. Euro Jahresbilanzsumme

und mittlere Unternehmen

  • mit 50 bis 249 Beschäftigten oder zwischen zehn und 50 Mio. Euro Jahresumsatz bzw. zwischen zehn und 43 Mio. Euro Jahresbilanzsumme

aus 18 Sektoren, wobei hier zwischen "Sektoren mit hoher Kritikalität" und "sonstigen kritischen Sektoren" unterschieden wird. Zu Ersteren zählen Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum. "Sonstige kritische Sektoren" umfassen Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes/herstellendes Gewerbe, Anbieter digitaler Dienste und Forschung.

2. Sind auch kleine Unternehmen betroffen?

Kleine Unternehmen, d.h. Unternehmen, die weniger als 50 Mitarbeiter:innen beschäftigen und die entweder einen Jahresumsatz von höchstens 10 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Mio. Euro beläuft, fallen grundsätzlich nicht in den direkten Anwendungsbereich.

Dabei gibt es jedoch Ausnahmen − folgende Unternehmen fallen unabhängig von ihrer Größe in den Anwendungsbereich:

  • Vertrauensdiensteanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
  • TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
  • Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, das essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.

Zusätzlich müssen auch Dienstleister und Lieferanten von betroffenen Unternehmen Sicherheitsvorkehrungen einhalten (Näheres dazu unter Punkt 4. „Sicherheit der Lieferkette“ und unter Punkt 5. „Was müssen Dienstleister beachten?“)

3. Welche Auswirkungen hat NIS2 auf betroffene Unternehmen?

Betroffene Einrichtungen müssen sich binnen 3 Monaten nach Inkrafttreten des NISG 2024 registrieren. Es sind Risikomanagementmaßnahmen zu treffen und Berichtspflichten zu beachten. Die Leitungsorgane (Geschäftsführer:in bei GmbH, Vorstand und Aufsichtsrat bei Aktiengesellschaft) haben die Einhaltung der Risikomanagementmaßnahmen sicherzustellen und zu beaufsichtigen, haften der Einrichtung für den schuldhaft verursachten Schaden und müssen an für diese spezifisch gestalteten Cybersicherheitsschulungen teilnehmen.

4. Was bedeutet „Sicherheit der Lieferkette“?

Von NIS2 betroffene Einrichtungen müssen die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren (Dienste-)Anbietern beachten.

Dabei sind die spezifischen Schwachstellen der einzelnen unmittelbaren (Dienste-) Anbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer (Dienste-) Anbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse, zu berücksichtigen und entsprechende Sicherheitsmaßnahmen zu treffen.

5. Was müssen Dienstleister und Lieferanten beachten?

Dienstleister oder Lieferanten eines NIS2-betroffenen Unternehmens können indirekt betroffen sein. Wenn Sie Dienstleister eines betroffenen Unternehmens sind, empfehlen wir Ihnen, zeitgerecht mit dem jeweiligen Unternehmen das Gespräch zu suchen. Gegebenenfalls wird das betroffene Unternehmen mit Ihnen vertraglich festlegen wollen, welche Sicherheitsvorgaben – abhängig vom jeweiligen Risiko – von Ihnen zu erfüllen sein werden. Sicherheitsnachweise können auf verschiedene Weise erfolgen (z.B. Zertifizierungen, Ratings, Audits, individuelle Nachweise der Compliance und Sicherheitsanforderungen). Bei der Überprüfung der unternehmensinternen Sicherheitsmaßnahmen kann Sie beispielsweise auch eine/ein Ziviltechnikerin/Ziviltechniker für Informationstechnologie unterstützen!

Da die NIS2 Bestimmungen insbesondere auch große und mittlere gewerblich tätige Unternehmungen betreffen könnten, kann es als Dienstleister eines solchen Unternehmens auch sinnvoll sein, die weiterführenden Informationen der Wirtschaftskammer zu studieren:

https://www.wko.at/it-sicherheit/sicherheit-lieferkette-nis2

https://www.wko.at/it-sicherheit/basismassnahmen-informationssicherheit-unternehmen

Zusätzliche Informationen finden Sie unter https://www.nis.gv.at/fragen-und-antworten/nis-2-richtlinie/allgemeine-informationen-zu-nis-2.html 

Feedback und Fragen zum Gesetzesentwurf können an die zuständigen Behörden gerichtet werden: nis@bka.gv.at; BMI-IV-S-2-Feedback@bmi.gv.at

 

(Stand Mai 2024)