Nahaufnahme einer Computertastatur auf grauem Untergrund stehend. Auf der Tastatur liegen drei Würfel. Auf jeder Seite eines jeden Würfels ist ein leuchtendes Paragraph-Symbol.
© peterschreiber.media | stock.adobe.com

Netz- und Informationssystem-sicherheitsgesetz 2024 – NISG 2024

Begutachtungsentwurf vom 3. April 2024

Lesedauer: 4 Minuten

02.05.2024

Die Cybersicherheits-Richtlinie NIS2 muss bis 17. Oktober 2024 in jedem EU-Mitgliedstaat in nationales Recht umgesetzt werden. Der Begutachtungsentwurf sieht die Umsetzung in österreichisches Recht vor.

>> Offizielle Begutachtungsunterlagen 
>> Stellungnahme der WKÖ zum NISG2024
>> Alle Stellungnahmen zum NISG2024 (Parlamentswebsite)

Ziel der Gesetzgebung ist die Steigerung der Cyberresilienz betroffener Einrichtungen.

Die folgenden Informationen erfolgen auf Basis des Begutachtungsentwurfs vom 3.4.2024 und können sich daher jederzeit ändern. Trotz sorgfältiger Bearbeitung sind Fehler nicht ausgeschlossen.

Betroffen sind mittlere und große Unternehmen bestimmter Sektoren, sowie die Digitale Infrastruktur. Indirekt betroffen (über vertragliche Vereinbarungen) sind Dienstleister und Lieferanten von NIS2-betroffenen Unternehmen (Weitere Informationen).

Der Entwurf orientiert sich weitgehend an der NIS2-Richtlinie (Weitere Informationen).

Dies ist abhängig vom Ausgang des parlamentarischen Gesetzgebungsverfahrens.

Im Entwurf ist kein Inkrafttretensdatum genannt, es ist daher davon auszugehen, dass die Regelungen mit 18. Oktober 2024 (ein Tag nach dem in der NIS2-RL genannten Umsetzungsdatum 17.10.2024) in Kraft treten sollen.

Im Entwurf sind keine Übergangsfristen vorgesehen, dh die Regelungen gelten für die betroffenen Einrichtungen mit Inkrafttreten des Gesetzes.

Nach dem Ende der offiziellen Begutachtungsfrist geht es in den parlamentarischen Gesetzgebungsprozess. 

Der Entwurf orientiert sich weitestgehend an der NIS2-RL und bringt insofern wenige „Überraschungen“. Die für Unternehmen relevante Bestimmungen finden sich insbesondere in:

§ 4 Behördenstruktur:

Zuständige Cybersicherheitsbehörde ist der Bundesminister für Inneres

Anwendungsbereich:

  • § 24 wesentliche und wichtige Einrichtungen
  • §§ 25, 26 Ermittlung der Unternehmensgröße
  • Anlage 1 und 2: betroffene Sektoren

§ 29 Registrierung:

Wesentliche und wichtige Einrichtungen haben sich innerhalb von drei Monaten ab Inkrafttreten des Gesetzes (damit voraussichtlich 18. Jänner 2025) zu registrieren (Kontaktdaten, Teil- Sektor, ggf. IP-Adresse, Größenschwellenwerte).

§ 31 Governance:

Die Leitungsorgane (etwa Vorstand, Geschäftsführer, Aufsichtsrat) 

  • haben die Einhaltung der Maßnahmen sicherzustellen und zu beaufsichtigen
  • haften der Einrichtung für den

schuldhaft verursachten Schaden und

  • müssen an für diese spezifisch gestalteten Cybersicherheitsschulungen teilnehmen und
  • Mitarbeiter:innen Schulungen anbieten.

§ 32 und Anlage 3: Risikomanagementmaßnahmen:

Die Risikomanagementmaßnahmen sind Mindestmaßnahmen (siehe dazu Anlage 3 des Entwurfs).

Die technischen, operativen und organisatorischen Anforderungen werden noch in nationalen Verordnungen spezifiziert.

Für die Digitale Infrastruktur wird es noch eine gesonderte Durchführungsverordnung auf europäischer Ebene geben.

§ 33 Abs 1:

Nachweis der Wirksamkeit der Maßnahmen/Selbstdeklaration: wesentliche und wichtige Einrichtungen haben innerhalb von sechs Monaten nach Aufforderung durch die Cybersicherheitsbehörde dieser eine Aufstellung umgesetzter Risikomanagementmaßnahmen gemäß § 32 zu übermitteln.

§ 33 Abs 2:

Wesentliche Einrichtungen haben innerhalb von drei Jahren nach Aufforderung zur Selbstdeklaration, frühestens jedoch sechs Monate vor Ablauf dieser Frist, die Umsetzung der Risikomanagementmaßnamen gemäß § 32 gegenüber der Cybersicherheitsbehörde mittels einer Prüfung durch eine unabhängige Stelle nachzuweisen. (Dies ersetzt die derzeitigen „NIS1-Audits, wobei an Stelle der derzeitigen qualifizierten Stelle nun „unabhängige Stellen“ treten.)

§ 34 Berichtspflichten bei erheblichen Cybersicherheitsvorfällen:

Es ist ein 3-stufiges Meldeverfahren ab Kenntnis an das Computer Security Incident Response Team (CSIRT) vorgesehen:

  • Frühwarnung unverzüglich, längstens binnen 24 Stunden
  • Meldung innerhalb von 72 Stunden
  • Abschlussbericht spätestens nach 1 Monat (bzw.  Zwischenbericht und Abschlussbericht nach Beendigung)

§ 45 Sanktionen:

  • Wichtige Einrichtungen bis zu 7 Mio Euro oder 1,4% des Konzernjahresumsatzes
  • Wesentliche Einrichtungen bis zu 10 Mio Euro oder 2% Konzernjahresumsatz

Nein, es handelt sich um einen offiziellen Begutachtungsentwurf, der im parlamentarischen Gesetzgebungsprozess noch abgeändert werden kann. Auch der Zeitpunkt des Inkrafttretens ist derzeit noch offen. 

Betroffene Einrichtungen sollten so früh wie möglich mit den Vorbereitungen starten.

Ab Inkrafttreten des Gesetzes haben die Unternehmen laut Entwurf 3 Monate Zeit sich zu registrieren. Wie das genau erfolgen wird, wird noch in einer Verordnung festgelegt werden.

Für NIS2-betroffene Unternehmen stehen die Cyber Security Schecks Cyber Security Schecks 2023 | FFG zur Verfügung. 

Achtung: Die Einreichfrist endet am 15.4.! 

Alle Infos zu Aus- und Weiterbildungsangeboten finden Sie auf unserer NIS2-Seite.

Weitere interessante Artikel
  • Rendering leuchtender Würfel mit 1 und 0 miteinander durch leuchtende Ketten verbunden
    Basismaßnahmen für Informationssicherheit im Unternehmen
    Weiterlesen
  • Nahaufnahme von einer Festplatte mit Schreibkopf und viele Ziffern mit 0 sowie 1 auf der Schreibplatte projiziert
    Datensicherung mit Konzept – darauf müssen Sie bei der Planung achten
    Weiterlesen