01. Sep. 2023

NIS 2: Was muss Ihr Unternehmen wann umsetzen?

Mit der neuen Cybersicherheits-Richtlinie mit der Bezeichnung "NIS 2" gelten ab Oktober 2024* für viele Unternehmen bestimmter Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen.

  • Welche Unternehmen sind betroffen?
  • Zählt dazu auch Ihr Unternehmen?
  • Welche Konsequenzen drohen, falls Sie sich nicht an die Regelung halten?

All das und vieles mehr haben wir in diesem Beitrag für Sie zusammengefasst.

*Update Juli 2024: 17. Oktober ist die Frist für die Umsetzung der EU NIS-2-Richtlinie in nationales Recht als NIS-2-Gesetz.  Der erste Juni 2025 ist das Inkrafttretungsdatum der im NIS-2-Gesetz definierten Vorgaben. Wann das NIS-2-Gesetz tatsächlich in Kraft tritt, ist abhängig vom Ausgang des parlamentarischen Gesetzgebungsverfahrens.

Was ist NIS 2?

NIS 2 steht für die Sicherheit der Netz- und Informationssysteme. Momentan gilt die NIS-Richtlinie aus 2016, die in Österreich durch das NIS-Gesetz umgesetzt wurde. Diese Regelung spezifiziert bereits Anforderungen an die Cybersicherheit in für die Gesellschaft wichtigen Branchen.

Die Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS 2-Richtlinie) stellt die Nachfolge der Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz -und Informationssystemen in der Union (NIS-Richtlinie) dar und wird diese inhaltlich endgültig mit 18. Oktober 2024 ersetzen.

Was ist zu beachten?

Es sind Risikomanagementmaßnahmen zu treffen und Berichtspflichten zu beachten. Die Leitungsorgane (Geschäftsführer*in bei GmbH, Vorstand bei Aktiengesellschaft) überwachen die Umsetzung und haften bei Verstößen.

Im Gegensatz zur bestehenden Richtlinien, in der die von der Regelung betroffenen Unternehmen per Bescheid als „wesentlicher Dienst“ klassifiziert wurden, gilt bei NIS 2, dass die Unternehmen selbst verantwortlich dafür sind, zu prüfen ob sie unter NIS 2 Richtlinie fallen.

Ab wann gelten die neuen Regelungen?

Spätestens ab 18. Oktober 2024 gelten die neuen Regelungen.

Die derzeitigen Regelungen sind am 16. Jänner 2023 in Kraft getreten und ersetzten die Richtlinie zur Netz- und Informationssystemsicherheit (NIS Richtline). Die Richtlinie muss bis zum 17. Oktober 2024 von den Mitgliedstaaten umgesetzt werden.

Welche Unternehmen sind betroffen?

Große und mittlere Unternehmen sind betroffen aus den Sektoren mit hoher Kritikalität und sonstige kritische Sektoren.

Wesentliche Dienste

Sektoren mit hoher Kritikalität

Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten B2B, öffentliche Verwaltung, Weltraum

 

Wichtige Dienste

Sonstige kritische Sektoren

Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes/herstellendes Gewerbe, Anbieter digitaler Dienste, Forschung (fakultativ)

Ausnahmen

Kleine Unternehmen, die entweder einen Jahresumsatz von höchstens 10 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Mio. Euro beläuft, fallen nicht unter NIS 2.

Allerdings gibt es ein paar Ausnahmen, die unabhängig von ihrer Größe in den Anwendungsbereich fallen:

  • Vertrauensdienstanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
  • TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
  • Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, dass essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.

Was sind die geforderten Mindestmaßnahmen in puncto Risikomanagement?

  • Konzept Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Business Continuity und Krisenmanagement
  • Sicherheit der Lieferkette
  • Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
  • Cyberhygiene und Schulungen zur Cybersicherheit
  • Kryptografie und ggf. Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle
  • Multi-Faktor-Authentifizierung

Welche Berichtspflichten gilt es zu beachten?

Bei Cybersicherheitsvorfällen ist die Behörde binnen 24 Stunden grob zu informieren, binnen 3 Tagen muss eine ausführliche Einschätzung an die Behörde erfolgen, nach einem Monat ist ein Abschlussbericht zu übermitteln.

Gibt es Folgen für Ihr Unternehmen, wenn Sie die Regelungen nicht einhalten?

Bei Nichterfüllung drohen Sanktionen bis zu 10 Mio. Euro oder 2 % des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Mio. Euro oder 1,4 % des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen.

Leitungsorgane (Geschäftsführer*innen und Vorstand) haften für Verstöße, wenn essenzielle Risikoabwägungen vernachlässigt oder ignoriert wurden.

Wie gestalten Sie am besten die Umsetzung?

  1. Betroffenheit klären
  2. Ressourcen einplanen: Planen Sie Budget und personelle Ressourcen für die Umsetzung ein.
  3. Verantwortlichkeit klären: Bestimmen Sie eine Person im Unternehmen, die für die Umsetzung der Regelungen operativ (haupt-)verantwortlich ist.Suchen Sie sich rechtzeitig kompetente externe Partner*innen, die Sie bei der Umsetzung unterstützen.Die Leitungsorgane müssen die Maßnahmen bewilligen, ihre Umsetzung überwachen und haften persönlich für Verstöße.
  4. Risikoanalyse und Lücken in Bezug auf NIS 2
  5. Maßnahmen ermitteln
  6. Maßnahmen umsetzen
  7. Geschäftskontinuität sicherstellen
  8. kontinuierliche Überprüfung

Wir helfen Ihnen mit konkreten Themen weiter. Kontaktieren Sie uns gerne mit Ihren Fragen:

KONTAKT

 

Weiterführende Informationen

Cybersicherheits-Richtlinie NIS 2 - WKO.at

NIS 2.0 – was kommt auf uns zu?

Amtsblatt der EU 2022 (NIS 1)

Amtsblatt der EU 2016 (NIS 1)

Zur Produktgruppe Überprüfung nach NISG

Schon gewusst? CIS ist als qualifizierte Stelle eines der wenigen vom Bundesministerium für Arbeit und Wirtschaft (BMAW) berufenen Unternehmen, die aufgrund ihrer Kompetenz NIS 2 Prüfungen am heimischen Markt durchführen können.

Weitere News & Events

Immer topaktuell informiert

08. Apr. 2025

NIS-2 und die Zukunft der Cybersecurity: Was Sie jetzt wissen müssen.

Keine Angst vor NIS-2

Mehr erfahren
26. März 2025

ISO 27001: Schwerpunktthemen 2025

Ausblick ISO 9001 zertifizierter Unternehmen

Mehr erfahren
25. März 2025

Gefälschte IT-Audits: Wenn Cyberkriminelle Prüfer*innen spielen

Schutz vor neuesten Angriffsmethoden

Mehr erfahren
24. März 2025

Mit Ihrem Projekt zum CISO of the Year 2025

Jetzt mitmachen und Informationssicherheit fördern!

Mehr erfahren
17. März 2025

Business Continuity Management: Die unterschätzte Lebensversicherung für Unternehmen

Wenn alles stillsteht

Mehr erfahren
10. März 2025

Österreichisches Umweltzeichen UZ 80: Der Weg zu klimafreundlicheren Rechenzentren

Umweltschonender Betrieb durch neue Richtlinie

Mehr erfahren
20. Feb. 2025

Was ISO 20000 IT Service Management für Unternehmen leisten kann

Durch Zertifizierung langfristig punkten

Mehr erfahren
11. Feb. 2025

Safer Internet Day 2025 – Aktuelle Entwicklungen

10. Feb. 2025

Unsicherheit adé mit der kombinierten NIS-2-Gap-Analyse

2 Lösungen auf einen Schlag

Mehr erfahren
05. Feb. 2025

ISO 27001: Richtig einsparen und Wirtschaftlichkeit stärken

Ihre Informationssicherheit mit System managen

Mehr erfahren
31. Jan. 2025

Die Verpflichtungen der EU- Verordnung für Künstliche Intelligenz

EU AI Act ab 02. Februar 2025

Mehr erfahren
16. Jan. 2025

CISO of the Year: Inspiration von den Besten holen

Wertvolle Tipps für Ihre Einreichung

Mehr erfahren
+43 1 532 98 90