NIS 2.0 – was kommt auf uns zu?

Ende 2018 wurde das österreichische Netz- und Informationssicherheitsgesetz (NISG) – beruhend auf der NIS-Richtlinie der EU – in nationales Gesetz umgewandelt. Das Ziel war es, die Cybersicherheit kritischer Infrastrukturen, wie u. a. im Bereich Energie, Gesundheitswesen oder Trinkwasserversorgung zu regeln.

Eine zweite, aktualisierte Richtlinie wurde im Mai 2022 veröffentlicht. Diese verfolgt das Ziel einer einheitlichen europäischen Cybersicherheitsregelung und soll die Resilienz in der gesamten Infrastruktur steigern. Die Richtlinie soll voraussichtlich noch im Dezember 2022 verabschiedet werden. Anschließend gilt eine nationale Umsetzungsfrist von 21 Monaten. Somit ist davon auszugehen, dass diese Richtlinie im Herbst 2024 in österreichisches Gesetz umgewandelt wird – dennoch ist schon heute von einem deutlichen Mehraufwand für Betriebe auszugehen.

Wer ist betroffen?

Der Anwendungsbereich wurde von aktuell acht auf zukünftig 16 Sektoren erweitert. Neu in der NIS-2-Richtlinie u. a. wichtige Einrichtungen wie Post- und Kurierdienste, Abfallbewirtschaftung, Chemie oder das IKT-Management B2B. Betroffen sind also mit wenigen Ausnahmen alle Unternehmen in diesen Sektoren, die mindestens 50 Beschäftigte sowie mehr als 10 Millionen Euro Umsatz haben. Laut Schätzungen sind das österreichweit rund 3.000 Betriebe, EU-weit sogar 100.000 Organisationen.

Zudem wird künftig zwischen Betreibern wesentlicher Dienste und Betreibern wichtiger Dienste unterschieden. Die Anforderungen sind im Wesentlichen gleich, bei wichtigen Diensten wird jedoch künftig noch strenger geprüft und somit noch genauer hingeschaut.

Was kommt auf die betroffenen Betriebe zu?

Die wichtigsten Neuerungen haben wir hier für Sie zusammengefasst:

• Die Meldepflicht bei Sicherheitsvorfällen mit erheblichen Auswirkungen auf den Betrieb oder erheblichen finanziellen bzw. materiellen Auswirkungen auf den eigenen wesentlichen Dienst sowie auf Dritte wird verschärft. Künftig müssen nicht nur tatsächliche Vorfälle gemeldet werden, sondern auch jene, die potenziell eintreten könnten.
• Meldepflicht der betroffenen Unternehmen bei der ENISA (European Union Agency for Cybersecurity) sowie die Einrichtung eines Schwachstellenregisters bei der ENISA. Sowohl Betreiber von wesentlichen bzw. wichtigen Diensten als auch Hersteller müssen demnach Meldungen bei der ENISA einreichen.
• Erweiterte Befugnisse der Behörde sind das Prüfen und Nachvollziehen der Einhaltung bestimmter Vorgaben. Auch hier gibt es einen Unterschied zu wichtigen Diensten: die Behörde kann tätig werden, wenn es Hinweise oder Beweise gibt, dass gewisse Anforderungen nicht eingehalten werden (z. B. durch Verurteilungen bei Datenschutzbehörden können im Nachhinein risiko-orientierte Scans durchgeführt werden).
• Leitungsorgane werden mehr in die Verantwortung genommen und müssen demnach Risikomanagementmaßnahmen billigen und deren Umsetzung beaufsichtigen. Sie sind ebenfalls rechenschaftspflichtig bei Abweichungen und müssen verpflichtende regelmäßige Schulungen im Bereich Cybersecurity und Risikomanagement absolvieren, um ausreichende Kenntnisse zur Erkennung und Bewertung von Risiken sowie Managementpraktiken zu erwerben. Dies wird zu einer Qualitätssteigerung über die Jahre führen, da letztendlich das gesamte Know-how steigen wird.
• Gleichzeitig müssen Betreiber wesentlicher bzw. wichtiger Dienste die Lieferkette deutlich stärker berücksichtigen, in dem sie spezifische Schwachstellen bei der Auswahl von Produkten ausweisen. Damit wird die Gesamtqualität der Produkte und Cybersicherheitspraxis wichtiger. In dem Zusammenhang werden auch Zertifizierungen und Nachweise immer relevanter, da z. B. gewisse Cybersicherheitspraxen so transparent und klar dargelegt werden können. Auch der Entwicklungsprozess wird künftig von Käufer*innen (von Produkten, Dienstleistungen oder Services) beurteilet.