05. Dez 2022

Neue Regelung für Cybersicherheit: CIS-Experte klärt auf

NIS 2.0 – was kommt auf uns zu?

Im Sommer 2022 einigten sich Rat und europäisches Parlament auf eine neue Regelung der Cybersicherheit: die sogenannte NIS-2-Richtlinie (Englisch: Directive on measures for a high common level of cybersecurity across the Union). Diese soll noch im Dezember 2022 endgültig verabschiedet werden. Was bedeutet dies für betroffene Betriebe und was kommt auf uns zu? Der CIS-Experte und Head of Audit Services, Robert Jamnik, hat die Antworten:

Ende 2018 wurde das österreichische Netz- und Informationssicherheitsgesetz (NISG) – beruhend auf der NIS-Richtlinie der EU – in nationales Gesetz umgewandelt. Das Ziel war es, die Cybersicherheit kritischer Infrastrukturen, wie u. a. im Bereich Energie, Gesundheitswesen oder Trinkwasserversorgung zu regeln.

Eine zweite, aktualisierte Richtlinie wurde im Mai 2022 veröffentlicht. Diese verfolgt das Ziel einer einheitlichen europäischen Cybersicherheitsregelung und soll die Resilienz in der gesamten Infrastruktur steigern. Die Richtlinie soll voraussichtlich noch im Dezember 2022 verabschiedet werden. Anschließend gilt eine nationale Umsetzungsfrist von 21 Monaten. Somit ist davon auszugehen, dass diese Richtlinie im Herbst 2024 in österreichisches Gesetz umgewandelt wird – dennoch ist schon heute von einem deutlichen Mehraufwand für Betriebe auszugehen.

Wer ist betroffen?

Der Anwendungsbereich wurde von aktuell acht auf zukünftig 16 Sektoren erweitert. Neu in der NIS-2-Richtlinie u. a. wichtige Einrichtungen wie Post- und Kurierdienste, Abfallbewirtschaftung, Chemie oder das IKT-Management B2B. Betroffen sind also mit wenigen Ausnahmen alle Unternehmen in diesen Sektoren, die mindestens 50 Beschäftigte sowie mehr als 10 Millionen Euro Umsatz haben. Laut Schätzungen sind das österreichweit rund 3.000 Betriebe, EU-weit sogar 100.000 Organisationen.

Zudem wird künftig zwischen Betreibern wesentlicher Dienste und Betreibern wichtiger Dienste unterschieden. Die Anforderungen sind im Wesentlichen gleich, bei wichtigen Diensten wird jedoch künftig noch strenger geprüft und somit noch genauer hingeschaut.

Was kommt auf die betroffenen Betriebe zu?

Die wichtigsten Neuerungen haben wir hier für Sie zusammengefasst:

  • Die Meldepflicht bei Sicherheitsvorfällen mit erheblichen Auswirkungen auf den Betrieb oder erheblichen finanziellen bzw. materiellen Auswirkungen auf den eigenen wesentlichen Dienst sowie auf Dritte wird verschärft. Künftig müssen nicht nur tatsächliche Vorfälle gemeldet werden, sondern auch jene, die potenziell eintreten könnten.
  • Meldepflicht der betroffenen Unternehmen bei der ENISA (European Union Agency for Cybersecurity) sowie die Einrichtung eines Schwachstellenregisters bei der ENISA. Sowohl Betreiber von wesentlichen bzw. wichtigen Diensten als auch Hersteller müssen demnach Meldungen bei der ENISA einreichen.
  • Erweiterte Befugnisse der Behörde sind das Prüfen und Nachvollziehen der Einhaltung bestimmter Vorgaben. Auch hier gibt es einen Unterschied zu wichtigen Diensten: die Behörde kann tätig werden, wenn es Hinweise oder Beweise gibt, dass gewisse Anforderungen nicht eingehalten werden (z. B. durch Verurteilungen bei Datenschutzbehörden können im Nachhinein risiko-orientierte Scans durchgeführt werden).
  • Leitungsorgane werden mehr in die Verantwortung genommen und müssen demnach Risikomanagementmaßnahmen billigen und deren Umsetzung beaufsichtigen. Sie sind ebenfalls rechenschaftspflichtig bei Abweichungen und müssen verpflichtende regelmäßige Schulungen im Bereich Cybersecurity und Risikomanagement absolvieren, um ausreichende Kenntnisse zur Erkennung und Bewertung von Risiken sowie Managementpraktiken zu erwerben. Dies wird zu einer Qualitätssteigerung über die Jahre führen, da letztendlich das gesamte Know-how steigen wird.
  • Gleichzeitig müssen Betreiber wesentlicher bzw. wichtiger Dienste die Lieferkette deutlich stärker berücksichtigen, in dem sie spezifische Schwachstellen bei der Auswahl von Produkten ausweisen. Damit wird die Gesamtqualität der Produkte und Cybersicherheitspraxis wichtiger. In dem Zusammenhang werden auch Zertifizierungen und Nachweise immer relevanter, da z. B. gewisse Cybersicherheitspraxen so transparent und klar dargelegt werden können. Auch der Entwicklungsprozess wird künftig von Käufer*innen (von Produkten, Dienstleistungen oder Services) beurteilet.

Sie haben Fragen? Kontaktieren Sie uns – unsere Experten kommen aus der Praxis und freuen sich, ihr Wissen und ihre Insights zu teilen. Hier können Sie mit uns Kontakt aufnehmen!

Weitere News & Events

Immer topaktuell informiert

30. Jan 2023

Harald Erkinger ist neuer Geschäftsführer der CIS

Erfahrener IT- und Cybersicherheits-Experte neuer CEO

Mehr erfahren
30. Nov 2022

Gesucht: Auditor*in Informations-sicherheits-management nach ISO 27001 (m/w/d)

30. Nov 2022

Gesucht: Prüfer*in Netz- und Informations­sicherheit (NIS) (m/w/d)

30. Nov 2022

Neue ISO/IEC 27001:2022 – Das müssen Unternehmen jetzt wissen

15. Nov 2022

Informationssicherheit in einer Kultur der offenen Türen

Science Security Series: Gastkommentar der FH St. Pölten

Mehr erfahren
07. Nov 2022

Revision ISO 27001 & ISO 27002:2022 – was kommt, was geht, was bleibt?

Überblick zu Maßnahmen und gute Nachrichten für die Umstellung

Mehr erfahren
26. Sep 2022

41-jähriger Sicherheits-Experte ist heimischer „CISO of the Year“

Österreichs beste Chief Information Security Officer geehrt

Mehr erfahren
21. Sep 2022

Experten präsentieren Strategien gegen Cyber-Attacken auf Betriebs­technologie

Das war der CIS Compliance Summit 2022

Mehr erfahren
12. Sep 2022

Wer ist der beste CISO im ganzen Land?

Nicht mehr lange und der Titel „CISO of the Year 2022“ wird erstmals beim diesjährigen CIS Compliance Summit an die oder den besten Chief Information Security…

Mehr erfahren
19. Aug 2022

ISO/IEC 27001:2022 – was ist neu?

Was bedeutet die Revision der ISO 27001 für Unternehmen?

Mehr erfahren
08. Aug 2022

6 kritische Faktoren der ISMS Umsetzung

Kritische Faktoren der ISMS Umsetzung

Mehr erfahren
28. Jul 2022

Global Threat Report 2022: was Sie jetzt wissen müssen!

Zusammenfassung aktueller Cyber Trends und Angriffe

Mehr erfahren
+43 732 34 23 22