NIS 2 Richtlinie betreffend Cybersicherheit im Amtsblatt der EU veröffentlicht – Webinar März 2024
Auch Unternehmen aus den Sektoren Abwasser und Abfallbewirtschaftung sind betroffen
Lesedauer: 5 Minuten
Am 20.3.2024 fand das Webinar „Cybersicherheitsrichtlinie NIS 2 für Unternehmen der Entsorgungs- und Ressourcenwirtschaft“ statt. In dem Webinar wurden beispielsweise die folgenden Fragen erörtert: Was ist NIS 2? Wer ist betroffen? Was ist zu tun?
Das Webinar wurde aufgezeichnet und kann bei Youtube abgerufen werden.
Am 27.12.2022 wurde die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS 2 Richtlinie) im Amtsblatt der Union veröffentlicht.
Inkrafttreten und Umsetzung
Die NIS 2 Richtlinie tritt am 20. Tag nach ihrer Veröffentlichung im Amtsblatt, somit am 16.1.2023, in Kraft.
Die Mitgliedstaaten haben bis zum 17. Oktober 2024 die erforderlichen Vorschriften zu erlassen, um dieser Richtlinie nachzukommen, und diese Vorschriften ab dem 18. Oktober 2024 anzuwenden.
Gegenstand
In dieser Richtlinie werden Maßnahmen festgelegt, mit denen in der gesamten Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll, um das Funktionieren des Binnenmarktes zu verbessern.
Betroffenheit
Grundsätzlich sind mittlere und große Unternehmen betroffen, die in Sektoren tätig sind, die in Anhang I oder Anhang II der Richtline beschrieben werden (siehe hierzu Artikel 2 Absatz 1 in Verbindung mit Anhang I und II der NIS 2 Richtlinie).
Ab wann gilt ein Unternehmen als groß oder mittel oder klein?
| Größenklasse | Beschäftigte (VZÄ) | Jahresumsatz | Jahresbilanzsumme |
|---|---|---|---|
| Kleines Unternehmen (KU) | < 50 und | ≤ 10 Mio. Euro oder | ≤ 10 Mio. Euro |
| Mittleres Unternehmen (MU) | < 250 und | ≤ 50 Mio. Euro oder | ≤ 43 Mio. Euro |
| Großes Unternehmen (GU) | ≥ 250 oder | > 50 Mio. Euro und | > 43 Mio. Euro |
Für den Bereich Entsorgungs- und Ressourcenmanagement ergibt sich somit die folgende Betroffenheit:
Abwasser (dieser Sektor wird in Anhang I angeführt):
Unternehmen, die kommunales Abwasser, häusliches Abwasser oder industrielles Abwasser im Sinne des Artikels 2 Nummern 1, 2 und 3 der Richtlinie 91/271/EWG des Rates sammeln, entsorgen oder behandeln, jedoch unter Ausschluss der Unternehmen, für die das Sammeln, die Entsorgung oder die Behandlung solchen Abwassers ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist.
Wenn ein Unternehmen diese beschriebene Tätigkeit durchführt und ein mittleres oder großes Unternehmen ist, so fällt dieses Unternehmen in den Anwendungsbereich der NIS 2 Richtlinie.
Abfallbewirtschaftung (dieser Sektor wird in Anhang II angeführt):
Unternehmen der Abfallbewirtschaftung im Sinne des Artikels 3 Nummer 9 der Richtlinie 2008/98/EG des Europäischen Parlaments und des Rates, ausgenommen Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist.
Artikel 3 Punkt 9 der RL 2008/98/EC lautet wie folgt:
„Abfallbewirtschaftung“ die Sammlung, den Transport, die Verwertung (einschließlich der Sortierung) und die Beseitigung von Abfällen, einschließlich der Überwachung dieser Verfahren sowie der Nachsorge von Beseitigungsanlagen und einschließlich der Handlungen, die von Händlern oder Maklern vorgenommen werden.
Wenn ein Unternehmen diese beschriebene Tätigkeit durchführt und ein mittleres oder großes Unternehmen ist, so fällt es in den Anwendungsbereich der NIS 2 Richtlinie
Produktion, Herstellung und Handel mit chemischen Stoffen (dieser Sektor wird in Anhang II angeführt):
Unternehmen im Sinne des Artikels 3 Nummern 9 und 14 der Verordnung (EG) Nr. 1907/2006 des Europäischen Parlaments und des Rates, die Stoffe herstellen und mit Stoffen oder Gemischen handeln und Unternehmen, die Erzeugnisse im Sinne des Artikels 3 Nummer 3 der genannten Verordnung aus Stoffen und Gemischen produzieren.
Bei der Verordnung (EG) Nr. 1907/2006 handelt es sich um die sogenannte REACH – Verordnung.
Artikel 3 Nummer 9 der REACH – VO lautet wie folgt:
„Hersteller“: natürliche oder juristische Person mit Sitz in der Gemeinschaft, die in der Gemeinschaft einen Stoff herstellt
Artikel 3 Nummer 14 der REACH – VO lautet wie folgt:
„Händler“: natürliche oder juristische Person mit Sitz in der Gemeinschaft, die einen Stoff als solchen oder in einem Gemisch lediglich lagert und an Dritte in Verkehr bringt; darunter fallen auch Einzelhändler
Artikel 3 Nummer 3 der REACH – VO lautet wie folgt:
„Erzeugnis“: Gegenstand, der bei der Herstellung eine spezifische Form, Oberfläche oder Gestalt erhält, die in größerem Maße als die chemische Zusammensetzung seine Funktion bestimmt
Obwohl der Sektor „Produktion, Herstellung und Handel mit chemischen Stoffen“ auf den ersten Blick nichts mit unserer Branche zu tun hat, können dennoch Abfallwirtschaftsbetriebe auch über diesen Anwendungstatbestand in den Anwendungsbereich der NIS 2 – Richtlinie fallen.
Begründung: Grundsätzlich sind Abfälle aus dem REACH – Regime ausgenommen. Sollte jedoch das Abfallende für einen Abfall auf Grund von nationalen oder europäischen Rechtsvorschriften eintreten bzw. erklärt werden, so wird der Abfallbereich verlassen und der Produktbereich betreten. Sollte ein Abfallwirtschaftsunternehmen das Abfallende für einen Abfall erklären, so sollte es prüfen, ob es mit dem ehemaligen Abfall nicht unter den Anwendungsbereich der REACH – Verordnung fällt und der ehemalige Abfall nicht als Erzeugnis im Sinne des Artikels 3 Nummer 3 der REACH – Verordnung anzusehen ist.
Sollte der ehemalige Abfall als Erzeugnis im Sinne der REACH – Verordnung anzusehen sein, so wird der Abfallwirtschaftsbetrieb, der dieses Erzeugnis hergestellt hat, unter den Anwendungstatbestand der Ziffer 3 „Produktion, Herstellung und Handel mit chemischen Stoffen“ fallen.
Für den Fall, dass Sie sich nicht sicher sind, ob Ihr ehemaliger Abfall als Erzeugnis im Sinne der REACH – Verordnung einzustufen ist, können Sie uns jederzeit kontaktieren (E – Mail abfallwirtschaft@wko.at).
Anzumerken ist, dass es bei dem Sektor „Produktion, Herstellung und Handel mit chemischen Stoffen“ keine Einschränkung betreffend der Haupttätigkeit gibt, so wie es bei dem Sektor „Abfallbewirtschaftung“ der Fall ist.
Das bedeutet, dass jedes mittlere oder große Unternehmen, das ein Erzeugnis im Sinne des Artikels 3 Ziffer 3 REACH – Verordnung herstellt, in den Anwendungsbereich der NIS 2 Richtlinie fällt.
Sie können auch mit dem Online-Ratgeber der WKÖ überprüfen, ob Sie in den Anwendungsbereich der NIS2 – Richtlinie fallen.
Wichtige Inhalte
Für betroffene Unternehmen ist insbesondere das Kapitel IV der Richtlinie mit dem Titel „Risikomanagementmaßnahmen und Berichtspflichten im Bereich der Cybersicherheit“ relevant.
Dort wird beispielsweise in Artikel 21 normiert, dass die Mitgliedsstaaten sicherzustellen haben, dass die betroffenen Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihre Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten. Die Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen.
In Artikel 23 wird unter anderem normiert, dass die betroffenen Einrichtungen unverzüglich jeden Sicherheitsvorfall zu melden haben, der erhebliche Auswirkungen auf die Erbringung ihrer Dienste hat.
Weiterführende Informationen
Der Fachverband Entsorgungs- und Ressourcenmanagement hat ein Merkblatt mit weiterführenden Informationen zu der Cybersicherheitsrichtlinie erstellt.
Ferner hat die WKÖ auf der Webseite https://wko.at/nis2 alle Details zur NIS 2 – Richtlinie (Betroffenheit, Verpflichtungen durch die NIS 2 – Richtlinie, usw.) dargestellt. Auf dieser Webseite finden Sie auch Tipps, wie Sie bei Betroffenheit die Umsetzung der NIS 2 Richtlinie starten können bzw. die Information, welche Unterstützungen es für die betroffenen Betriebe gibt.