05. Dez. 2022

NIS 2.0 – was kommt auf uns zu?

Im Sommer 2022 einigten sich Rat und europäisches Parlament auf eine neue Regelung der Cybersicherheit: die sogenannte NIS-2-Richtlinie (Englisch: Directive on measures for a high common level of cybersecurity across the Union). Diese soll noch im Dezember 2022 endgültig verabschiedet werden. Was bedeutet dies für betroffene Betriebe und was kommt auf uns zu? Der CIS-Experte und Head of Audit Services, Robert Jamnik, hat die Antworten:

Ende 2018 wurde das österreichische Netz- und Informationssicherheitsgesetz (NISG) – beruhend auf der NIS-Richtlinie der EU – in nationales Gesetz umgewandelt. Das Ziel war es, die Cybersicherheit kritischer Infrastrukturen, wie u. a. im Bereich Energie, Gesundheitswesen oder Trinkwasserversorgung zu regeln.

Eine zweite, aktualisierte Richtlinie wurde im Mai 2022 veröffentlicht. Diese verfolgt das Ziel einer einheitlichen europäischen Cybersicherheitsregelung und soll die Resilienz in der gesamten Infrastruktur steigern. Die Richtlinie soll voraussichtlich noch im Dezember 2022 verabschiedet werden. Anschließend gilt eine nationale Umsetzungsfrist von 21 Monaten. Somit ist davon auszugehen, dass diese Richtlinie im Herbst 2024 in österreichisches Gesetz umgewandelt wird – dennoch ist schon heute von einem deutlichen Mehraufwand für Betriebe auszugehen.

Wer ist betroffen?

Der Anwendungsbereich wurde von aktuell acht auf zukünftig 16 Sektoren erweitert. Neu in der NIS-2-Richtlinie u. a. wichtige Einrichtungen wie Post- und Kurierdienste, Abfallbewirtschaftung, Chemie oder das IKT-Management B2B. Betroffen sind also mit wenigen Ausnahmen alle Unternehmen in diesen Sektoren, die mindestens 50 Beschäftigte sowie mehr als 10 Millionen Euro Umsatz haben. Laut Schätzungen sind das österreichweit rund 3.000 Betriebe, EU-weit sogar 100.000 Organisationen.

Zudem wird künftig zwischen Betreibern wesentlicher Dienste und Betreibern wichtiger Dienste unterschieden. Die Anforderungen sind im Wesentlichen gleich, bei wichtigen Diensten wird jedoch künftig noch strenger geprüft und somit noch genauer hingeschaut.

Was kommt auf die betroffenen Betriebe zu?

Die wichtigsten Neuerungen haben wir hier für Sie zusammengefasst:

  • Die Meldepflicht bei Sicherheitsvorfällen mit erheblichen Auswirkungen auf den Betrieb oder erheblichen finanziellen bzw. materiellen Auswirkungen auf den eigenen wesentlichen Dienst sowie auf Dritte wird verschärft. Künftig müssen nicht nur tatsächliche Vorfälle gemeldet werden, sondern auch jene, die potenziell eintreten könnten.
  • Meldepflicht der betroffenen Unternehmen bei der ENISA (European Union Agency for Cybersecurity) sowie die Einrichtung eines Schwachstellenregisters bei der ENISA. Sowohl Betreiber von wesentlichen bzw. wichtigen Diensten als auch Hersteller müssen demnach Meldungen bei der ENISA einreichen.
  • Erweiterte Befugnisse der Behörde sind das Prüfen und Nachvollziehen der Einhaltung bestimmter Vorgaben. Auch hier gibt es einen Unterschied zu wichtigen Diensten: die Behörde kann tätig werden, wenn es Hinweise oder Beweise gibt, dass gewisse Anforderungen nicht eingehalten werden (z. B. durch Verurteilungen bei Datenschutzbehörden können im Nachhinein risiko-orientierte Scans durchgeführt werden).
  • Leitungsorgane werden mehr in die Verantwortung genommen und müssen demnach Risikomanagementmaßnahmen billigen und deren Umsetzung beaufsichtigen. Sie sind ebenfalls rechenschaftspflichtig bei Abweichungen und müssen verpflichtende regelmäßige Schulungen im Bereich Cybersecurity und Risikomanagement absolvieren, um ausreichende Kenntnisse zur Erkennung und Bewertung von Risiken sowie Managementpraktiken zu erwerben. Dies wird zu einer Qualitätssteigerung über die Jahre führen, da letztendlich das gesamte Know-how steigen wird.
  • Gleichzeitig müssen Betreiber wesentlicher bzw. wichtiger Dienste die Lieferkette deutlich stärker berücksichtigen, in dem sie spezifische Schwachstellen bei der Auswahl von Produkten ausweisen. Damit wird die Gesamtqualität der Produkte und Cybersicherheitspraxis wichtiger. In dem Zusammenhang werden auch Zertifizierungen und Nachweise immer relevanter, da z. B. gewisse Cybersicherheitspraxen so transparent und klar dargelegt werden können. Auch der Entwicklungsprozess wird künftig von Käufer*innen (von Produkten, Dienstleistungen oder Services) beurteilet.

Sie haben Fragen? Kontaktieren Sie uns – unsere Experten kommen aus der Praxis und freuen sich, ihr Wissen und ihre Insights zu teilen. Hier können Sie mit uns Kontakt aufnehmen!

Weitere News & Events

Immer topaktuell informiert

16. Jan. 2025

CISO of the Year: Inspiration von den Besten holen

Wertvolle Tipps für Ihre Einreichung

Mehr erfahren
09. Jan. 2025

CISO of the Year: Strategisch Sicherheit von morgen schaffen

Insights vom Gewinner

Mehr erfahren
23. Dez. 2024

ISO 27001: Aufwand, Nutzen und Erfolgsfaktoren

Erfolgreicher Aufbau eines Informationssicherheitsmanagements

Mehr erfahren
11. Dez. 2024

Neue Zertifizierung für grüne Rechenzentren auf dem Markt

Österreichisches Umweltzeichen UZ 80

Mehr erfahren
28. Nov. 2024

ISO 27001: Vorteile der Zertifizierung für Ihr Unternehmen

Insights zertifizierter Unternehmen

Mehr erfahren
11. Nov. 2024

6 Schritte zur erfolgreichen ISO 42001 Implementierung

Die Einführung der ISO 42001 erfordert einen strukturierten Ansatz, sorgfältige Planung und Struktur.

Mehr erfahren
06. Nov. 2024

6 Vorteile einer ISO 42001 Zertifizierung

Standards für die verantwortungsvolle und effektive Nutzung von Künstlicher Intelligenz

Mehr erfahren
04. Nov. 2024

ISO 27001 erhöht Informations­sicherheit bei 81 % der zertifizierten Unternehmen

Umfrage

Mehr erfahren
22. Okt. 2024

CIS verleiht erstes ISO 42001 Zertifikat für österreichisches Unternehmen

neue Maßstäbe für die sichere und transparente Entwicklung von KI

Mehr erfahren
16. Sep. 2025

Event:CIS Compliance Summit 2025

Security | Privacy | Continuity

Mehr erfahren
14. Okt. 2024

„CISO of the Year“ kürt zwei Innovatoren, die das Cyber-Leben sicherer und einfacher machen

Einer der Höhepunkte am CIS Compliance Summit war auch in diesem Jahr die Auszeichnung

Mehr erfahren
11. Okt. 2024

KI-Ethik sichert im Schulter­schluss mit Richtlinien die Infrastruktur

Das war der CIS Compliance Summit 2024 für Entscheidungsträger

Mehr erfahren
+43 1 532 98 90