05. Dez 2022

Neue Regelung für Cybersicherheit: CIS-Experte klärt auf

NIS 2.0 – was kommt auf uns zu?

Im Sommer 2022 einigten sich Rat und europäisches Parlament auf eine neue Regelung der Cybersicherheit: die sogenannte NIS-2-Richtlinie (Englisch: Directive on measures for a high common level of cybersecurity across the Union). Diese soll noch im Dezember 2022 endgültig verabschiedet werden. Was bedeutet dies für betroffene Betriebe und was kommt auf uns zu? Der CIS-Experte und Head of Audit Services, Robert Jamnik, hat die Antworten:

Ende 2018 wurde das österreichische Netz- und Informationssicherheitsgesetz (NISG) – beruhend auf der NIS-Richtlinie der EU – in nationales Gesetz umgewandelt. Das Ziel war es, die Cybersicherheit kritischer Infrastrukturen, wie u. a. im Bereich Energie, Gesundheitswesen oder Trinkwasserversorgung zu regeln.

Eine zweite, aktualisierte Richtlinie wurde im Mai 2022 veröffentlicht. Diese verfolgt das Ziel einer einheitlichen europäischen Cybersicherheitsregelung und soll die Resilienz in der gesamten Infrastruktur steigern. Die Richtlinie soll voraussichtlich noch im Dezember 2022 verabschiedet werden. Anschließend gilt eine nationale Umsetzungsfrist von 21 Monaten. Somit ist davon auszugehen, dass diese Richtlinie im Herbst 2024 in österreichisches Gesetz umgewandelt wird – dennoch ist schon heute von einem deutlichen Mehraufwand für Betriebe auszugehen.

Wer ist betroffen?

Der Anwendungsbereich wurde von aktuell acht auf zukünftig 16 Sektoren erweitert. Neu in der NIS-2-Richtlinie u. a. wichtige Einrichtungen wie Post- und Kurierdienste, Abfallbewirtschaftung, Chemie oder das IKT-Management B2B. Betroffen sind also mit wenigen Ausnahmen alle Unternehmen in diesen Sektoren, die mindestens 50 Beschäftigte sowie mehr als 10 Millionen Euro Umsatz haben. Laut Schätzungen sind das österreichweit rund 3.000 Betriebe, EU-weit sogar 100.000 Organisationen.

Zudem wird künftig zwischen Betreibern wesentlicher Dienste und Betreibern wichtiger Dienste unterschieden. Die Anforderungen sind im Wesentlichen gleich, bei wichtigen Diensten wird jedoch künftig noch strenger geprüft und somit noch genauer hingeschaut.

Was kommt auf die betroffenen Betriebe zu?

Die wichtigsten Neuerungen haben wir hier für Sie zusammengefasst:

  • Die Meldepflicht bei Sicherheitsvorfällen mit erheblichen Auswirkungen auf den Betrieb oder erheblichen finanziellen bzw. materiellen Auswirkungen auf den eigenen wesentlichen Dienst sowie auf Dritte wird verschärft. Künftig müssen nicht nur tatsächliche Vorfälle gemeldet werden, sondern auch jene, die potenziell eintreten könnten.
  • Meldepflicht der betroffenen Unternehmen bei der ENISA (European Union Agency for Cybersecurity) sowie die Einrichtung eines Schwachstellenregisters bei der ENISA. Sowohl Betreiber von wesentlichen bzw. wichtigen Diensten als auch Hersteller müssen demnach Meldungen bei der ENISA einreichen.
  • Erweiterte Befugnisse der Behörde sind das Prüfen und Nachvollziehen der Einhaltung bestimmter Vorgaben. Auch hier gibt es einen Unterschied zu wichtigen Diensten: die Behörde kann tätig werden, wenn es Hinweise oder Beweise gibt, dass gewisse Anforderungen nicht eingehalten werden (z. B. durch Verurteilungen bei Datenschutzbehörden können im Nachhinein risiko-orientierte Scans durchgeführt werden).
  • Leitungsorgane werden mehr in die Verantwortung genommen und müssen demnach Risikomanagementmaßnahmen billigen und deren Umsetzung beaufsichtigen. Sie sind ebenfalls rechenschaftspflichtig bei Abweichungen und müssen verpflichtende regelmäßige Schulungen im Bereich Cybersecurity und Risikomanagement absolvieren, um ausreichende Kenntnisse zur Erkennung und Bewertung von Risiken sowie Managementpraktiken zu erwerben. Dies wird zu einer Qualitätssteigerung über die Jahre führen, da letztendlich das gesamte Know-how steigen wird.
  • Gleichzeitig müssen Betreiber wesentlicher bzw. wichtiger Dienste die Lieferkette deutlich stärker berücksichtigen, in dem sie spezifische Schwachstellen bei der Auswahl von Produkten ausweisen. Damit wird die Gesamtqualität der Produkte und Cybersicherheitspraxis wichtiger. In dem Zusammenhang werden auch Zertifizierungen und Nachweise immer relevanter, da z. B. gewisse Cybersicherheitspraxen so transparent und klar dargelegt werden können. Auch der Entwicklungsprozess wird künftig von Käufer*innen (von Produkten, Dienstleistungen oder Services) beurteilet.

Sie haben Fragen? Kontaktieren Sie uns – unsere Experten kommen aus der Praxis und freuen sich, ihr Wissen und ihre Insights zu teilen. Hier können Sie mit uns Kontakt aufnehmen!

Weitere News & Events

Immer topaktuell informiert

17. Mai 2023

Wollen Sie wissen, wie sicher Ihr Unternehmen ist? Lassen Sie sich hacken!

Ethical Hacking als Trend in der Security Branche

Mehr erfahren
10. Mai 2023

Top-Secret-Strategien für mehr Informations­sicherheit

Mit ungewöhnlichen Maßnahmen Mitarbeitende sensibilisieren

Mehr erfahren
03. Mai 2023

Wie Sie Ihr Unternehmen vor Daten­missbrauch schützen

Ein effektives Managementsystem kann helfen, die Informationen und Daten des Unternehmens zu schützen und vor Cyber-Attacken zu sichern.

Mehr erfahren
11. Apr 2023

8 Tipps für mehr Security in der „New Work“ Arbeitswelt

Hier ein paar Tipps und Tricks für mehr Sicherheit in der „New Work“ Umgebung.

Mehr erfahren
03. Apr 2023

New Work – Provokation nutzen und Potenzial leben

Neue Wege in der Sicherheit sind gefragt, um eine sichere Arbeitsumgebung zu schaffen.

Mehr erfahren
14. Mrz 2023

Einreichfrist ver­längert: Österreichs beste und bester Chief Information Security Officer gesucht

„CISO of the Year“: Bewerbungen bis 21. April 2023 möglich

Mehr erfahren
01. Mrz 2023

ISO 27001 trifft Cyber Trust Austria® Label: Das i-Tüpfelchen der Security

Success Story am Beispiel von ACP

Mehr erfahren
07. Feb 2023

Sicherheits­maßnahmen für Unternehmen am Safer Internet Day

Ein sicheres Netz geht uns alle etwas an - inwiefern können auch Unternehmen und Organisationen zu einem sicheren Internet beitragen?

Mehr erfahren
31. Jan 2023

Wachsende Angriffsfläche durch Digitalisierungsschub

30. Jan 2023

Harald Erkinger ist neuer Geschäftsführer der CIS

Erfahrener IT- und Cybersicherheits-Experte neuer CEO

Mehr erfahren
30. Nov 2022

Gesucht: Auditor*in Informations-sicherheits-management nach ISO 27001 (m/w/d)

30. Nov 2022

Gesucht: Prüfer*in Netz- und Informations­sicherheit (NIS) (m/w/d)

+43 732 34 23 22