01. Sep 2023

Überblick zu Fristen, Folgen und betroffene Unternehmen

NIS 2: Was muss Ihr Unternehmen wann umsetzen?

Mit der neuen Cybersicherheits-Richtlinie mit der Bezeichnung "NIS 2" gelten ab Oktober 2024 für viele Unternehmen bestimmter Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen.

  • Welche Unternehmen sind betroffen?
  • Zählt dazu auch Ihr Unternehmen?
  • Welche Konsequenzen drohen, falls Sie sich nicht an die Regelung halten?

All das und vieles mehr haben wir in diesem Beitrag für Sie zusammengefasst.

Was ist NIS 2?

NIS 2 steht für die Sicherheit der Netz- und Informationssysteme. Momentan gilt die NIS-Richtlinie aus 2016, die in Österreich durch das NIS-Gesetz umgesetzt wurde. Diese Regelung spezifiziert bereits Anforderungen an die Cybersicherheit in für die Gesellschaft wichtigen Branchen.

Die Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS 2-Richtlinie) stellt die Nachfolge der Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz -und Informationssystemen in der Union (NIS-Richtlinie) dar und wird diese inhaltlich endgültig mit 18. Oktober 2024 ersetzen.

Was ist zu beachten?

Es sind Risikomanagementmaßnahmen zu treffen und Berichtspflichten zu beachten. Die Leitungsorgane (Geschäftsführer*in bei GmbH, Vorstand bei Aktiengesellschaft) überwachen die Umsetzung und haften bei Verstößen.

Im Gegensatz zur bestehenden Richtlinien, in der die von der Regelung betroffenen Unternehmen per Bescheid als „wesentlicher Dienst“ klassifiziert wurden, gilt bei NIS 2, dass die Unternehmen selbst verantwortlich dafür sind, zu prüfen ob sie unter NIS 2 Richtlinie fallen.

Ab wann gelten die neuen Regelungen?

Spätestens ab 18. Oktober 2024 gelten die neuen Regelungen.

Die derzeitigen Regelungen sind am 16. Jänner 2023 in Kraft getreten und ersetzten die Richtlinie zur Netz- und Informationssystemsicherheit (NIS Richtline). Die Richtlinie muss bis zum 17. Oktober 2024 von den Mitgliedstaaten umgesetzt werden.

Welche Unternehmen sind betroffen?

Große und mittlere Unternehmen sind betroffen aus den Sektoren mit hoher Kritikalität und sonstige kritische Sektoren.

Wesentliche Dienste

Sektoren mit hoher Kritikalität

Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten B2B, öffentliche Verwaltung, Weltraum

 

Wichtige Dienste

Sonstige kritische Sektoren

Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes/herstellendes Gewerbe, Anbieter digitaler Dienste, Forschung (fakultativ)

Ausnahmen

Kleine Unternehmen, die entweder einen Jahresumsatz von höchstens 10 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Mio. Euro beläuft, fallen nicht unter NIS 2.

Allerdings gibt es ein paar Ausnahmen, die unabhängig von ihrer Größe in den Anwendungsbereich fallen:

  • Vertrauensdienstanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
  • TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
  • Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, dass essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.

Was sind die geforderten Mindestmaßnahmen in puncto Risikomanagement?

  • Konzept Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Business Continuity und Krisenmanagement
  • Sicherheit der Lieferkette
  • Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
  • Cyberhygiene und Schulungen zur Cybersicherheit
  • Kryptografie und ggf. Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle
  • Multi-Faktor-Authentifizierung

Welche Berichtspflichten gilt es zu beachten?

Bei Cybersicherheitsvorfällen ist die Behörde binnen 24 Stunden grob zu informieren, binnen 3 Tagen muss eine ausführliche Einschätzung an die Behörde erfolgen, nach einem Monat ist ein Abschlussbericht zu übermitteln.

Gibt es Folgen für Ihr Unternehmen, wenn Sie die Regelungen nicht einhalten?

Bei Nichterfüllung drohen Sanktionen bis zu 10 Mio. Euro oder 2 % des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Mio. Euro oder 1,4 % des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen.

Leitungsorgane (Geschäftsführer*innen und Vorstand) haften für Verstöße, wenn essenzielle Risikoabwägungen vernachlässigt oder ignoriert wurden.

Wie gestalten Sie am besten die Umsetzung?

  1. Betroffenheit klären
  2. Ressourcen einplanen: Planen Sie Budget und personelle Ressourcen für die Umsetzung ein.
  3. Verantwortlichkeit klären: Bestimmen Sie eine Person im Unternehmen, die für die Umsetzung der Regelungen operativ (haupt-)verantwortlich ist.Suchen Sie sich rechtzeitig kompetente externe Partner*innen, die Sie bei der Umsetzung unterstützen.Die Leitungsorgane müssen die Maßnahmen bewilligen, ihre Umsetzung überwachen und haften persönlich für Verstöße.
  4. Risikoanalyse und Lücken in Bezug auf NIS 2
  5. Maßnahmen ermitteln
  6. Maßnahmen umsetzen
  7. Geschäftskontinuität sicherstellen
  8. kontinuierliche Überprüfung

Wir helfen Ihnen mit konkreten Themen weiter. Kontaktieren Sie uns gerne mit Ihren Fragen:

KONTAKT

 

Weiterführende Informationen

Cybersicherheits-Richtlinie NIS 2 - WKO.at

NIS 2.0 – was kommt auf uns zu?

Amtsblatt der EU 2022 (NIS 1)

Amtsblatt der EU 2016 (NIS 1)

Zur Produktgruppe Überprüfung nach NISG

Schon gewusst? CIS ist als qualifizierte Stelle eines der wenigen vom Bundesministerium für Arbeit und Wirtschaft (BMAW) berufenen Unternehmen, die aufgrund ihrer Kompetenz NIS 2 Prüfungen am heimischen Markt durchführen können.

Weitere News & Events

Immer topaktuell informiert

15. Feb 2024

EN 50600 fördert Nachhaltigkeit

Wie passen Ressourcenfresser Rechenzentren und der European Green Deal zusammen?

Mehr erfahren
05. Feb 2024

Aktueller Stand zur Normenentwicklung EN 50600

Update für Rechenzentren 2024

Mehr erfahren
31. Jan 2024

CIS ist erste Prüfstelle für EN 50600

31. Jan 2024

Neue Firmenadresse

Wir sind umgezogen!

Mehr erfahren
29. Jan 2024

CISO of the Year: Ihr persönlicher Karrierebooster

CISO of the Year 2023 Marcel Lehner

Mehr erfahren
26. Jan 2024

CISO of the Year: Außergewöhnliche Leistungen, außergewöhnliche Auszeichnung

Sonderpreisträger Lifetime Achievement Award Thomas Schober

Mehr erfahren
24. Jan 2024

CISO of the Year: Erfolgreiche Projekte auf die Bühne

CISO of the Year 2023 Bettina Thurnher

Mehr erfahren
22. Jan 2024

Cyberattacken weltweit Nummer 1 Risiko

Neue Daten im Zuge des „Risk Barometer“ veröffentlicht

Mehr erfahren
18. Jan 2024

Praxis-Einblicke in die Umsetzung von DORA

Sind Sie von der DORA-Verordnung betroffen?

Mehr erfahren
03. Jan 2024

Resilienz im Finanzsektor – DORA

Digital Operational Resilience Act – Überblick zur EU-Verordnung

Mehr erfahren
07. Dez 2023

Bedeutende rechtliche Fortschritte für die Cyber-Security 2024

Relevante Gesetze und Richtlinien für Informationssicherheit

Mehr erfahren
13. Nov 2023

TISAX: Neuer ISA-Katalog vom VDA veröffentlicht

Wesentliche Neuerungen für Automobil-Industrie

Mehr erfahren
+43 1 532 98 90