Cybersicherheits-Richtlinie NIS 2 tritt in Kraft

Die neue Richtlinie mit der Bezeichnung "NIS 2" ist am 16.1.2023 in Kraft getreten und wird die derzeit geltende Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) ersetzen.

Die Cybersicherheits-Richtlinie soll die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU verbessern.

Damit kommen auf Unternehmen bestimmter Sektoren und Behörden, die für die Wirtschaft und Gesellschaft von entscheidender und essenzieller Bedeutung sind, neue Auflagen – insbesondere Risikomanagementmaßnahmen und Meldepflichten - im Bereich Cybersicherheit zu.

Betroffenheit

Die bestehenden 8 Sektoren von NIS 1 werden mit NIS 2 auf 16 Sektoren ausgeweitet.

Wesentliche Einrichtungen:

• Energie
• Verkehr
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasser
• Abwasser (neu)
• Digitale Infrastruktur
• Verwaltung von IKT-Diensten B2B (neu)
• öffentliche Verwaltung (neu)
• Weltraum (neu)

Wichtige Einrichtungen:

• Post- und Kurierdienste (neu)
• Abfallbewirtschaftung (neu)
• Chemie (neu), Lebensmittel (neu)
• verarbeitendes/herstellendes Gewerbe (neu)
• Anbieter digitaler Dienste
• Forschung (neu; fakultativ)

Betroffen sind alle mittleren und große Unternehmen der genannten Sektoren.  

Ausnahme: 

Ausgenommen sind kleine Unternehmen, d.h. Unternehmen, die weniger als 50 Mitarbeiter:innen beschäftigen und die entweder einen Jahresumsatz von höchstens 10 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Mio. Euro beläuft. 

Folgende Unternehmen fallen unabhängig von ihrer Größe in den Anwendungsbereich:

• Vertrauensdiensteanbieter
• Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
• TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
• Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, das essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.

Regelungen

• Risikomanagementmaßnahmen (z.B. Konzepte für Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Backupmanagement, Schulung von Mitarbeiter:innen)
• Lieferketten und Abhängigkeiten von Partnerunternehmen müssen inkludiert werden.
• Meldepflichten: Bei Cybersicherheitsvorfällen ist die Behörde binnen 24 Stunden grob zu informieren, binnen 3 Tagen muss eine ausführliche Einschätzung an die Behörde erfolgen.
• Leitungsorgane haften künftig für Verstöße, wenn essenzielle Risikoabwägungen vernachlässigt oder ignoriert wurden und müssen an Schulungen zu Cybersicherheit teilnehmen.
• Sanktionen: Bei Nichterfüllung drohen Sanktionen bis zu EUR 10 Mio. oder 2 % des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. EUR 7 Mio. oder 1,4 % des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen.

Sektorspezifische Rechtsvorschriften

NIS2 wurde an die sektorspezifischen Rechtsvorschriften, insbesondere an die Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (DORA) und die Richtlinie über die Resilienz kritischer Einrichtungen (CER) angepasst und sollte damit für Kohärenz zwischen den Rechtsakten zu sorgen.

Zeitplan

Die Mitgliedstaaten müssen die Richtlinie bis 17. Oktober 2024 umsetzen. Damit gelten die Regelungen für die betroffenen Einrichtungen und ersetzen die derzeit geltende NIS-Richtlinie.

In Österreich wird die Umsetzung voraussichtlich durch eine Novelle des NIS-Gesetzes erfolgen.

Stand: 03.05.2023