05. Dez 2022

Neue Regelung für Cybersicherheit: CIS-Experte klärt auf

NIS 2.0 – was kommt auf uns zu?

Im Sommer 2022 einigten sich Rat und europäisches Parlament auf eine neue Regelung der Cybersicherheit: die sogenannte NIS-2-Richtlinie (Englisch: Directive on measures for a high common level of cybersecurity across the Union). Diese soll noch im Dezember 2022 endgültig verabschiedet werden. Was bedeutet dies für betroffene Betriebe und was kommt auf uns zu? Der CIS-Experte und Head of Audit Services, Robert Jamnik, hat die Antworten:

Ende 2018 wurde das österreichische Netz- und Informationssicherheitsgesetz (NISG) – beruhend auf der NIS-Richtlinie der EU – in nationales Gesetz umgewandelt. Das Ziel war es, die Cybersicherheit kritischer Infrastrukturen, wie u. a. im Bereich Energie, Gesundheitswesen oder Trinkwasserversorgung zu regeln.

Eine zweite, aktualisierte Richtlinie wurde im Mai 2022 veröffentlicht. Diese verfolgt das Ziel einer einheitlichen europäischen Cybersicherheitsregelung und soll die Resilienz in der gesamten Infrastruktur steigern. Die Richtlinie soll voraussichtlich noch im Dezember 2022 verabschiedet werden. Anschließend gilt eine nationale Umsetzungsfrist von 21 Monaten. Somit ist davon auszugehen, dass diese Richtlinie im Herbst 2024 in österreichisches Gesetz umgewandelt wird – dennoch ist schon heute von einem deutlichen Mehraufwand für Betriebe auszugehen.

Wer ist betroffen?

Der Anwendungsbereich wurde von aktuell acht auf zukünftig 16 Sektoren erweitert. Neu in der NIS-2-Richtlinie u. a. wichtige Einrichtungen wie Post- und Kurierdienste, Abfallbewirtschaftung, Chemie oder das IKT-Management B2B. Betroffen sind also mit wenigen Ausnahmen alle Unternehmen in diesen Sektoren, die mindestens 50 Beschäftigte sowie mehr als 10 Millionen Euro Umsatz haben. Laut Schätzungen sind das österreichweit rund 3.000 Betriebe, EU-weit sogar 100.000 Organisationen.

Zudem wird künftig zwischen Betreibern wesentlicher Dienste und Betreibern wichtiger Dienste unterschieden. Die Anforderungen sind im Wesentlichen gleich, bei wichtigen Diensten wird jedoch künftig noch strenger geprüft und somit noch genauer hingeschaut.

Was kommt auf die betroffenen Betriebe zu?

Die wichtigsten Neuerungen haben wir hier für Sie zusammengefasst:

  • Die Meldepflicht bei Sicherheitsvorfällen mit erheblichen Auswirkungen auf den Betrieb oder erheblichen finanziellen bzw. materiellen Auswirkungen auf den eigenen wesentlichen Dienst sowie auf Dritte wird verschärft. Künftig müssen nicht nur tatsächliche Vorfälle gemeldet werden, sondern auch jene, die potenziell eintreten könnten.
  • Meldepflicht der betroffenen Unternehmen bei der ENISA (European Union Agency for Cybersecurity) sowie die Einrichtung eines Schwachstellenregisters bei der ENISA. Sowohl Betreiber von wesentlichen bzw. wichtigen Diensten als auch Hersteller müssen demnach Meldungen bei der ENISA einreichen.
  • Erweiterte Befugnisse der Behörde sind das Prüfen und Nachvollziehen der Einhaltung bestimmter Vorgaben. Auch hier gibt es einen Unterschied zu wichtigen Diensten: die Behörde kann tätig werden, wenn es Hinweise oder Beweise gibt, dass gewisse Anforderungen nicht eingehalten werden (z. B. durch Verurteilungen bei Datenschutzbehörden können im Nachhinein risiko-orientierte Scans durchgeführt werden).
  • Leitungsorgane werden mehr in die Verantwortung genommen und müssen demnach Risikomanagementmaßnahmen billigen und deren Umsetzung beaufsichtigen. Sie sind ebenfalls rechenschaftspflichtig bei Abweichungen und müssen verpflichtende regelmäßige Schulungen im Bereich Cybersecurity und Risikomanagement absolvieren, um ausreichende Kenntnisse zur Erkennung und Bewertung von Risiken sowie Managementpraktiken zu erwerben. Dies wird zu einer Qualitätssteigerung über die Jahre führen, da letztendlich das gesamte Know-how steigen wird.
  • Gleichzeitig müssen Betreiber wesentlicher bzw. wichtiger Dienste die Lieferkette deutlich stärker berücksichtigen, in dem sie spezifische Schwachstellen bei der Auswahl von Produkten ausweisen. Damit wird die Gesamtqualität der Produkte und Cybersicherheitspraxis wichtiger. In dem Zusammenhang werden auch Zertifizierungen und Nachweise immer relevanter, da z. B. gewisse Cybersicherheitspraxen so transparent und klar dargelegt werden können. Auch der Entwicklungsprozess wird künftig von Käufer*innen (von Produkten, Dienstleistungen oder Services) beurteilet.

Sie haben Fragen? Kontaktieren Sie uns – unsere Experten kommen aus der Praxis und freuen sich, ihr Wissen und ihre Insights zu teilen. Hier können Sie mit uns Kontakt aufnehmen!

Weitere News & Events

Immer topaktuell informiert

04. Apr 2024

Exklusives Führungskräfte­training für NIS 2

Machen Sie Ihr Unternehmen fit für die neue Richtlinie

Mehr erfahren
03. Apr 2024

CIS tritt der Austrian Data Center Association (ADCA) bei

Neue Kooperation

Mehr erfahren
01. Apr 2024

Smarte Compliance für Rechenzentren

NISG und EN 50600

Mehr erfahren
28. Mrz 2024

ISO 42001 – die neue Norm für Künstliche Intelligenz

Weltweit erster Standard für KI

Mehr erfahren
26. Mrz 2024

Verlängerte Einreichfrist: jetzt bis 30. April 2024 anmelden!

Österreichs “CISO of the Year 2024” gesucht

Mehr erfahren
29. Feb 2024

Die Zukunft von KI und Data Ownership

KI und Datenschutz: Neue Unsicherheiten

Mehr erfahren
27. Feb 2024

Verlieren wir durch Künstliche Intelligenz (KI) die Kontrolle über unsere Daten?

Ein Balanceakt zwischen KI, Informationssicherheit und Data Ownership

Mehr erfahren
15. Feb 2024

EN 50600 fördert Nachhaltigkeit

Wie passen Ressourcenfresser Rechenzentren und der European Green Deal zusammen?

Mehr erfahren
05. Feb 2024

Aktueller Stand zur Normenentwicklung EN 50600

Update für Rechenzentren 2024

Mehr erfahren
31. Jan 2024

CIS ist erste Prüfstelle für EN 50600

31. Jan 2024

Neue Firmenadresse

Wir sind umgezogen!

Mehr erfahren
29. Jan 2024

CISO of the Year: Ihr persönlicher Karrierebooster

CISO of the Year 2023 Marcel Lehner

Mehr erfahren
+43 1 532 98 90