Cybersicherheits-Richtlinie NIS 2
Neue Regelungen für mehr Cybersicherheit in der EU
Lesedauer: 7 Minuten
Aktuelles
- NIS2-incite-Workshop: online am 16.01. und 27.01.2024 (kostenpflichtig)
- Video zum Online-Webinar Cybersicherheits-Richtlinie NIS2
- NIS2-Förderung: Cyber Security Schecks 2023 | FFG
Mit der neuen Cybersicherheits-Richtlinie mit der Bezeichnung "NIS 2" gelten ab Oktober 2024 für viele Unternehmen bestimmter Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen.
Was bedeutet NIS?
NIS steht für die Sicherheit der Netz- und Informationssysteme. Derzeit gilt die NIS-Richtlinie aus 2016, die in Österreich mit dem NIS-Gesetz umgesetzt wurde. Die derzeit geltenden Regelungen betreffen vorwiegend Unternehmen der kritischen Infrastruktur und Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen und Cloud Computing-Dienste).
Ab wann gelten die neuen Regelungen für Unternehmen?
Voraussichtlich spätestens ab 18. Oktober 2024.
Die NIS2-Richtlinie ist am 16. Jänner 2023 in Kraft getreten und wird die derzeit geltende Richtlinie zur Netz- und Informationsystemsicherheit (NIS-Richtlinie) ersetzen. Die Mitgliedstaaten müssen die Richtlinie bis 17. Oktober 2024 umsetzen.
Was ist das Ziel von NIS2?
Die Cybersicherheits-Richtlinie soll die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU verbessern.
Der bisherige Anwendungsbereich der NIS-Richtlinie nach Sektoren wird mit NIS2 auf einen weit größeren Teil der Wirtschaft ausgeweitet, um eine umfassende Abdeckung der Sektoren und Dienste zu gewährleisten, die im Binnenmarkt für grundlegende gesellschaftliche und wirtschaftliche Tätigkeiten von entscheidender Bedeutung sind.
Betroffene Einrichtungen müssen daher geeignete Risikomanagementmaßnahmen für die Sicherheit ihrer Netz- und Informationssysteme treffen und unterliegen Meldepflichten.
Welchen Beitrag kann NIS2 für die Cybersicherheit leisten?
Wer ist betroffen?
Betroffen sind große und mittlere Unternehmen aus folgenden Sektoren:
| Sektoren mit hoher Kritikalität:
| Sonstige kritische Sektoren:
|
Ab wann gilt ein Unternehmen als groß oder mittel oder klein?
| Größenklasse | Beschäftigte (VZÄ) | Jahresumsatz | Jahresbilanzsumme |
|---|---|---|---|
| Kleines Unternehmen (KU) | < 50 und | ≤ 10 Mio. Euro oder | ≤ 10 Mio. Euro |
| Mittleres Unternehmen (MU) | < 250 und | ≤ 50 Mio. Euro oder | ≤ 43 Mio. Euro |
| Großes Unternehmen (GU) | ≥ 250 oder | > 50 Mio. Euro und | > 43 Mio. Euro |
Achtung:
Bei Unternehmen mit einer komplexeren Struktur (z.B. Tochtergesellschaft im Konzern) ist eine Einzelfallprüfung erforderlich. Für die Beurteilung wird neben der Unternehmensgröße (d.h. Mitarbeiterzahl und Umsatz- bzw. Bilanzzahl) berücksichtigt, ob es sich um ein eigenständiges Unternehmen, Partnerunternehmen (Beteilungen an anderen Unternehmen ab 25 % bis 50 %) oder verbundenes Unternehmen (Beteiligungen an anderen Unternehmen über 50 %) handelt.
Sind auch kleine Unternehmen betroffen?
Kleine Unternehmen, d.h. Unternehmen, die weniger als 50 Mitarbeiter:innen beschäftigen und die entweder einen Jahresumsatz von höchstens 10 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Mio. Euro beläuft, fallen nicht unter NIS2.
Dabei gibt es jedoch Ausnahmen − folgende Unternehmen fallen unabhängig von ihrer Größe in den Anwendungsbereich:
- Vertrauensdiensteanbieter
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
- TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
- Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, das essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.
Zusätzlich müssen auch Dienstleister und Lieferanten von betroffenen Unternehmen Sicherheitsvorkehrungen einhalten.
Was sind wesentliche Einrichtungen und was sind wichtige Einrichtungen?
Als wesentliche Einrichtungen gelten große Unternehmen aus den Sektoren
- Energie
- Verkehr
- Bankwesen
- Finanzmarkt
- Gesundheit
- Trinkwasser
- Abwasser
- Verwaltung von IKT-Diensten
- Weltraum
(Sektoren mit hoher Kritikalität laut Anhang I).
Mittlere Unternehmen dieser Sektoren gelten als wichtige Einrichtungen.
Ebenso gelten große und mittlere Unternehmen aus den Sektoren
- Post und Kurier
- Abfall
- Chemie
- Lebensmittel
- Produktion
- Digitale Dienste
- Forschung
(„sonstige kritische Sektoren“ laut Anhang II) als wichtige Einrichtungen.
Kleinunternehmen sind grundsätzlich nicht im direkten Anwendungsbereich (können aber über die Lieferkette betroffen sein).
Was sind die Unterschiede, ob ein Unternehmen als wesentlich oder wichtig gilt?
Ob man als Unternehmen eine wesentliche oder eine wichtige Einrichtung im Sinne der Richtlinie ist, macht bei der Umsetzung der geforderten Sicherheitsmaßnahmen (siehe unten) keinen Unterschied.
Es gibt jedoch Unterschiede bei der Aufsicht und den Sanktionen:
| Wesentliche Einrichtungen
| Wichtige Einrichtungen
|
Was gilt für die „Digitale Infrastruktur“?
Für den Sektor „Digitale Infrastruktur“ (laut Anhang I der Richtlinie) gibt es Ausnahmeregelungen für den Anwendungsbereich und die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen:
Sektor | Art der Einrichtung | groß | mittel | klein |
|---|---|---|---|---|
Digitale Infrastruktur | TLD-Namenregister qualifizierte Vertrauensdiensteanbieter | wesentlich | ||
DNS Diensteanbieter (ausgenommen Betreiber von Root-Nameserver) | ||||
Anbieter öffentlicher elektronischer Kommunikationsnetze oder elektronischer Kommunikationsdienste |
| wichtig | ||
| Vertrauensdiensteanbieter | wesentlich | wichtig | ||
Betreiber von Internet-Knoten | wesentlich | wichtig | ||
Anbieter von Cloud-Computing-Diensten | ||||
Anbieter von Rechenzentrumsdiensten | ||||
Betreiber von Content Delivery Networks (CDN) | ||||
Was gibt die Richtlinie für Unternehmen vor?
Es sind Risikomanagementmaßnahmen zu treffen und Berichtspflichten zu beachten. Die Leitungsorgane (Geschäftsführer:in bei GmbH, Vorstände bei Aktiengesellschaft) überwachen die Umsetzung und haften bei Verstößen.
Welche Risikomanagementmaßnahmen sind zu treffen?
10 Risikomanagementmaßnahmen (Mindestmaßnahmen):
- Konzept Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Business Continuity und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
- Cyberhygiene und Schulungen zur Cybersicherheit
- Kryptografie und ggf. Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle
- Multi-Faktor-Authentifizierung
Dabei zu berücksichtigen sind:
- der Stand der Technik
- europäische und internationalen Normen
- Kosten der Umsetzung
- bestehendes Risiko
Bei der Bewertung der Verhältnismäßigkeit dieser Maßnahmen sind das Ausmaß der Risikoexposition der Einrichtung, die Größe der Einrichtung und die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.
Was bedeutet „Sicherheit der Lieferkette“?
Von NIS2 betroffene Einrichtungen müssen die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern beachten.
Sie müssen die spezifischen Schwachstellen der einzelnen unmittelbaren (Dienste-)Anbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse, berücksichtigen
Welche Berichtspflichten sind zu beachten?
- Bei Cybersicherheitsvorfällen ist die Behörde binnen 24 Stunden grob zu informieren, binnen 3 Tagen muss eine ausführliche Einschätzung an die Behörde erfolgen, nach einem Monat ist ein Abschlussbericht zu übermitteln.
Was passiert, wenn Unternehmen die Regelungen nicht einhalten?
Bei Nichterfüllung drohen Sanktionen bis zu 10 Mio. Euro oder 2 % des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Mio. Euro oder 1,4 % des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen.
Leitungsorgane (Geschäftsführer und Vorstand) haften für Verstöße, wenn essenzielle Risikoabwägungen vernachlässigt oder ignoriert wurden.
Wie fange ich am Besten bei der Umsetzung an?
1. Betroffenheit klären: Nutzen Sie unseren kostenlosen Online-Ratgeber, um zu klären, ob Ihr Unternehmen betroffen ist.
2. Ressourcen einplanen: Planen Sie Budget und personelle Ressourcen für die Umsetzung ein.
3. Verantwortlichkeit klären:
- Bestimmen Sie eine Person im Unternehmen, die für die Umsetzung der Regelungen operativ (haupt-)verantwortlich ist.
- Suchen Sie sich rechtzeitig kompetente externe Partner, die Sie bei der Umsetzung unterstützen.
- Die Leitungsorgane müssen die Maßnahmen billigen, ihre Umsetzung überwachen und haften persönlich für Verstöße.
4. Risikoanalyse und Lücken in Bezug auf NIS2
5. Maßnahmen ermitteln
6. Maßnahmen umsetzen
7. Geschäftskontinuität sicherstellen
8. kontinuierliche Überprüfung
Wo erhalten Unternehmen Unterstützung?
- NIS2- Förderung: Cyber Security Schecks 2023 | FFG
- www.it-safe.at - Informationen rund um das Thema Cybersicherheit im Unternehmen
- IT-Sicherheitsexperten finden
Sie sind Berater:in?
Nutzen Sie die Gelegenheit zur Aus- und Weiterbildung zu NIS2 beim Online-Workshop der UBIT Akademie incite am 28.11. und 15.12.
Machen Sie sich im größten und aktuellsten Online-Firmenverzeichnis Österreichs WKO Firmen A-Z für potenzielle Kund:innen sichtbar. Die Inhalte können Sie selbst gestalten, neu ist auch eine Eintragungsmöglichkeit zu NIS.
So einfach geht es: Erstellen Sie ihren Firmen A-Z-Eintrag unter registrierung.wko.at bzw. loggen Sie sich nach der Registrierung unter benutzerkonto.wko.at ein.
Weitere Informationen
Infokampagne zur Cybersicherheits-RL NIS2
Cybersicherheit in der EU: Was bedeutet die NIS2-Richtlinie für Unternehmen?
Webinar
Cybersicherheits-Richtlinie NIS 2 tritt in Kraft
Neue Regelungen für mehr Cybersicherheit in der EU
Ist mein Unternehmen von NIS2 betroffen?
Online-Ratgeber NIS2
Cybersicherheit – Das NISG
Derzeit geltende Rechtslage (NIS-Richtlinie und NIS-Gesetz)
NIS − Verpflichtungen für Anbieter digitaler Dienste im Bereich Netz- und Informationssystemsicherheit
Derzeit geltende EU-NIS-Richtlinie, NIS-Gesetz und NIS-Verordnung
Links
- NIS2-Richtlinie
- NIS2 Directive – FAQs (englisch)
- Wie unterstützt die WKO?
- Empfehlung der EK betreffend Definition von KMU
- Benutzerleitfaden zur Definition von KMU
- Rechtliches und Dokumente
- NIS-Behördenseite
- Computer-Notfallteams (CSIRTs) im Sinne des NIS-Gesetzes
Stand: 30.11.2023