01. Sep 2023

Überblick zu Fristen, Folgen und betroffene Unternehmen

NIS 2: Was muss Ihr Unternehmen wann umsetzen?

Mit der neuen Cybersicherheits-Richtlinie mit der Bezeichnung "NIS 2" gelten ab Oktober 2024 für viele Unternehmen bestimmter Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen.

  • Welche Unternehmen sind betroffen?
  • Zählt dazu auch Ihr Unternehmen?
  • Welche Konsequenzen drohen, falls Sie sich nicht an die Regelung halten?

All das und vieles mehr haben wir in diesem Beitrag für Sie zusammengefasst.

Was ist NIS 2?

NIS 2 steht für die Sicherheit der Netz- und Informationssysteme. Momentan gilt die NIS-Richtlinie aus 2016, die in Österreich durch das NIS-Gesetz umgesetzt wurde. Diese Regelung spezifiziert bereits Anforderungen an die Cybersicherheit in für die Gesellschaft wichtigen Branchen.

Die Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS 2-Richtlinie) stellt die Nachfolge der Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz -und Informationssystemen in der Union (NIS-Richtlinie) dar und wird diese inhaltlich endgültig mit 18. Oktober 2024 ersetzen.

Was ist zu beachten?

Es sind Risikomanagementmaßnahmen zu treffen und Berichtspflichten zu beachten. Die Leitungsorgane (Geschäftsführer*in bei GmbH, Vorstand bei Aktiengesellschaft) überwachen die Umsetzung und haften bei Verstößen.

Im Gegensatz zur bestehenden Richtlinien, in der die von der Regelung betroffenen Unternehmen per Bescheid als „wesentlicher Dienst“ klassifiziert wurden, gilt bei NIS 2, dass die Unternehmen selbst verantwortlich dafür sind, zu prüfen ob sie unter NIS 2 Richtlinie fallen.

Ab wann gelten die neuen Regelungen?

Spätestens ab 18. Oktober 2024 gelten die neuen Regelungen.

Die derzeitigen Regelungen sind am 16. Jänner 2023 in Kraft getreten und ersetzten die Richtlinie zur Netz- und Informationssystemsicherheit (NIS Richtline). Die Richtlinie muss bis zum 17. Oktober 2024 von den Mitgliedstaaten umgesetzt werden.

Welche Unternehmen sind betroffen?

Große und mittlere Unternehmen sind betroffen aus den Sektoren mit hoher Kritikalität und sonstige kritische Sektoren.

Wesentliche Dienste

Sektoren mit hoher Kritikalität

Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten B2B, öffentliche Verwaltung, Weltraum

 

Wichtige Dienste

Sonstige kritische Sektoren

Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes/herstellendes Gewerbe, Anbieter digitaler Dienste, Forschung (fakultativ)

Ausnahmen

Kleine Unternehmen, die entweder einen Jahresumsatz von höchstens 10 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Mio. Euro beläuft, fallen nicht unter NIS 2.

Allerdings gibt es ein paar Ausnahmen, die unabhängig von ihrer Größe in den Anwendungsbereich fallen:

  • Vertrauensdienstanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
  • TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
  • Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, dass essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.

Was sind die geforderten Mindestmaßnahmen in puncto Risikomanagement?

  • Konzept Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Business Continuity und Krisenmanagement
  • Sicherheit der Lieferkette
  • Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
  • Cyberhygiene und Schulungen zur Cybersicherheit
  • Kryptografie und ggf. Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle
  • Multi-Faktor-Authentifizierung

Welche Berichtspflichten gilt es zu beachten?

Bei Cybersicherheitsvorfällen ist die Behörde binnen 24 Stunden grob zu informieren, binnen 3 Tagen muss eine ausführliche Einschätzung an die Behörde erfolgen, nach einem Monat ist ein Abschlussbericht zu übermitteln.

Gibt es Folgen für Ihr Unternehmen, wenn Sie die Regelungen nicht einhalten?

Bei Nichterfüllung drohen Sanktionen bis zu 10 Mio. Euro oder 2 % des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Mio. Euro oder 1,4 % des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen.

Leitungsorgane (Geschäftsführer*innen und Vorstand) haften für Verstöße, wenn essenzielle Risikoabwägungen vernachlässigt oder ignoriert wurden.

Wie gestalten Sie am besten die Umsetzung?

  1. Betroffenheit klären
  2. Ressourcen einplanen: Planen Sie Budget und personelle Ressourcen für die Umsetzung ein.
  3. Verantwortlichkeit klären: Bestimmen Sie eine Person im Unternehmen, die für die Umsetzung der Regelungen operativ (haupt-)verantwortlich ist.Suchen Sie sich rechtzeitig kompetente externe Partner*innen, die Sie bei der Umsetzung unterstützen.Die Leitungsorgane müssen die Maßnahmen bewilligen, ihre Umsetzung überwachen und haften persönlich für Verstöße.
  4. Risikoanalyse und Lücken in Bezug auf NIS 2
  5. Maßnahmen ermitteln
  6. Maßnahmen umsetzen
  7. Geschäftskontinuität sicherstellen
  8. kontinuierliche Überprüfung

Wir helfen Ihnen mit konkreten Themen weiter. Kontaktieren Sie uns gerne mit Ihren Fragen:

KONTAKT

 

Weiterführende Informationen

Cybersicherheits-Richtlinie NIS 2 - WKO.at

NIS 2.0 – was kommt auf uns zu?

Amtsblatt der EU 2022 (NIS 1)

Amtsblatt der EU 2016 (NIS 1)

Zur Produktgruppe Überprüfung nach NISG

Schon gewusst? CIS ist als qualifizierte Stelle eines der wenigen vom Bundesministerium für Arbeit und Wirtschaft (BMAW) berufenen Unternehmen, die aufgrund ihrer Kompetenz NIS 2 Prüfungen am heimischen Markt durchführen können.

Weitere News & Events

Immer topaktuell informiert

22. Mai 2024

Geschützt: Wie lernen Sie am Besten?

Welche Ansprüche stellen Sie an eine Weiterbildung?

Mehr erfahren
22. Mai 2024

Der neue Online-Kurs für Information Security Manager* ist da!

Flexibel bleiben und online lernen

Mehr erfahren
22. Mai 2024

Neu: Kompaktkurs Datenschutz

Stärken Sie Ihre Position als Expert*in in nur einem Tag!

Mehr erfahren
15. Mai 2024

TISAX® deep dive: die 12 Prüfziele (Labels)

Sicherheit in der Automobilindustrie

Mehr erfahren
13. Mai 2024

TISAX® deep dive: die drei Assessment-Levels

Sicherheit in der Automobilindustrie

Mehr erfahren
30. Apr 2024

TISAX®: Informations­sicherheit in der Automobilbranche

Auf der Überholspur

Mehr erfahren
29. Apr 2024

Erfolgreiche erste Prüfung nach dem Netz- und Informations­systemsicherheits­gesetz (NIS-Gesetz)

Success Story am Beispiel der KAGes.m.b.H.

Mehr erfahren
04. Apr 2024

Exklusives Führungskräfte­training für NIS-2

Machen Sie Ihr Unternehmen fit für die neue Richtlinie

Mehr erfahren
03. Apr 2024

CIS tritt der Austrian Data Center Association (ADCA) bei

Neue Kooperation

Mehr erfahren
01. Apr 2024

Smarte Compliance für Rechenzentren

NISG und EN 50600

Mehr erfahren
28. Mrz 2024

ISO 42001 – die neue Norm für Künstliche Intelligenz

Weltweit erster Standard für KI

Mehr erfahren
26. Mrz 2024

Verlängerte Einreichfrist: jetzt bis 30. April 2024 anmelden!

Österreichs “CISO of the Year 2024” gesucht

Mehr erfahren
+43 1 532 98 90