Neue EU-Regeln für Cyber Security

Die EU-Cybersicherheits-Richtlinie m(Network and Information Security Directive, NIS) regelt die Cyber- und Informationssicherheit von Betrieben und Institutionen auf europäischer Ebene. Die erste NIS-Richtlinie wurde bereits 2016 erlassen, um ein EU-weites Sicherheitsnetz zu schaffen und damit den Sicherheitslevel in öffentlichen und privaten Sektoren und deren Reaktionsfähigkeit auf Sicherheitsvorfälle zu verbessern. Dieses - bislang noch geltende – Gesetz betrifft nur wenige Unternehmen in Österreich. Vor allem in der kritischen Infrastruktur und Anbieter digitaler Dienste - wie etwa Online- Marktplätze, Online-Suchmaschinen und Cloud Computing-Dienste.

Wer ist betroffen?

Ab 18. Oktober 2024 gilt nun die neue Richtlinie NIS2, mit der der Kreis der betroffenen Unternehmen erweitert wird. Die Richtlinie gilt dann für große und mittlere Unternehmen ab 50 Mitarbeitern und zehn Millionen Euro Jahresumsatz, wenn sie bestimmten Sektoren zuzurechnen sind. In bestimmten Geschäftsbereichen gilt NIS2 sogar unabhängig von der Betriebsgröße, womit dort auch kleinere Unternehmen von NIS2 erfasst sind. Dazu zählen folgende Bereiche:

• Vertrauensdiensteanbieter,
• Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste,
• TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern,
• Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, das essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist. Zusätzlich müssen auch Dienstleister und Lieferanten von Unternehmen, die von NIS2 betroffen sind, Sicherheitsvorkehrungen einhalten.

Welche Maßnahmen sind zu setzen?

Betriebe, die in den Anwendungsbereich der NIS2 fallen, müssen Folgendes beachten:

• Umsetzung von Risikomanagementmaßnahmen (z.B. Konzepte für Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Backup- Management, Schulung von Mitarbeitern).
• Lieferketten und Abhängigkeiten von Partnerunternehmen müssen inkludiert werden.
• Meldepflichten: Bei Cybersicherheitsvorfällen ist die Behörde binnen 24 Stunden grob zu informieren, binnen drei Tagen muss eine ausführliche Einschätzung an die Behörde erfolgen, nach einem Monat ist ein Abschlussbericht zu übermitteln.

Maßnahmen bei Nichterfüllung

Bei Nichterfüllung drohen Sanktionen bis zu zehn Millionen Euro oder zwei Prozent des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. sieben Millionen Euro oder 1,4 Prozent des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen. Leitungsorgane (Geschäftsführer und Vorstand) sind für Verstöße haftbar, wenn essenzielle Risikoabwägungen vernachlässigt oder ignoriert wurden.

Online-Ratgeber und Förderung

Damit Unternehmen möglichst früh einschätzen können, ob sie von NIS2 betroffen sind, bietet die Wirtschaftskammerorganisation einen kostenlosen Online-Ratgeber an. Außerdem können Unternehmen, die aufgrund von NIS2 Sicherheitsmaßnahmen implementieren müssen, beim Forschungsförderungsfonds eine Förderung über den Cyber Security Scheck 2023 beantragen - noch bis 15. April. Die Unterstützung erfolgt in Form nicht rückzahlbarer Zuschüsse von maximal 10.000 Euro pro Cyber Security Scheck. Die Förderquote beträgt höchstens 40 Prozent der förderbaren Projekt-Gesamtkosten.