01. Sep 2023

Überblick zu Fristen, Folgen und betroffene Unternehmen

NIS 2: Was muss Ihr Unternehmen wann umsetzen?

Mit der neuen Cybersicherheits-Richtlinie mit der Bezeichnung "NIS 2" gelten ab Oktober 2024 für viele Unternehmen bestimmter Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen.

  • Welche Unternehmen sind betroffen?
  • Zählt dazu auch Ihr Unternehmen?
  • Welche Konsequenzen drohen, falls Sie sich nicht an die Regelung halten?

All das und vieles mehr haben wir in diesem Beitrag für Sie zusammengefasst.

Was ist NIS 2?

NIS 2 steht für die Sicherheit der Netz- und Informationssysteme. Momentan gilt die NIS-Richtlinie aus 2016, die in Österreich durch das NIS-Gesetz umgesetzt wurde. Diese Regelung spezifiziert bereits Anforderungen an die Cybersicherheit in für die Gesellschaft wichtigen Branchen.

Die Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS 2-Richtlinie) stellt die Nachfolge der Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz -und Informationssystemen in der Union (NIS-Richtlinie) dar und wird diese inhaltlich endgültig mit 18. Oktober 2024 ersetzen.

Was ist zu beachten?

Es sind Risikomanagementmaßnahmen zu treffen und Berichtspflichten zu beachten. Die Leitungsorgane (Geschäftsführer*in bei GmbH, Vorstand bei Aktiengesellschaft) überwachen die Umsetzung und haften bei Verstößen.

Im Gegensatz zur bestehenden Richtlinien, in der die von der Regelung betroffenen Unternehmen per Bescheid als „wesentlicher Dienst“ klassifiziert wurden, gilt bei NIS 2, dass die Unternehmen selbst verantwortlich dafür sind, zu prüfen ob sie unter NIS 2 Richtlinie fallen.

Ab wann gelten die neuen Regelungen?

Spätestens ab 18. Oktober 2024 gelten die neuen Regelungen.

Die derzeitigen Regelungen sind am 16. Jänner 2023 in Kraft getreten und ersetzten die Richtlinie zur Netz- und Informationssystemsicherheit (NIS Richtline). Die Richtlinie muss bis zum 17. Oktober 2024 von den Mitgliedstaaten umgesetzt werden.

Welche Unternehmen sind betroffen?

Große und mittlere Unternehmen sind betroffen aus den Sektoren mit hoher Kritikalität und sonstige kritische Sektoren.

Wesentliche Dienste

Sektoren mit hoher Kritikalität

Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten B2B, öffentliche Verwaltung, Weltraum

 

Wichtige Dienste

Sonstige kritische Sektoren

Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes/herstellendes Gewerbe, Anbieter digitaler Dienste, Forschung (fakultativ)

Ausnahmen

Kleine Unternehmen, die entweder einen Jahresumsatz von höchstens 10 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Mio. Euro beläuft, fallen nicht unter NIS 2.

Allerdings gibt es ein paar Ausnahmen, die unabhängig von ihrer Größe in den Anwendungsbereich fallen:

  • Vertrauensdienstanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
  • TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
  • Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, dass essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.

Was sind die geforderten Mindestmaßnahmen in puncto Risikomanagement?

  • Konzept Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Business Continuity und Krisenmanagement
  • Sicherheit der Lieferkette
  • Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
  • Cyberhygiene und Schulungen zur Cybersicherheit
  • Kryptografie und ggf. Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle
  • Multi-Faktor-Authentifizierung

Welche Berichtspflichten gilt es zu beachten?

Bei Cybersicherheitsvorfällen ist die Behörde binnen 24 Stunden grob zu informieren, binnen 3 Tagen muss eine ausführliche Einschätzung an die Behörde erfolgen, nach einem Monat ist ein Abschlussbericht zu übermitteln.

Gibt es Folgen für Ihr Unternehmen, wenn Sie die Regelungen nicht einhalten?

Bei Nichterfüllung drohen Sanktionen bis zu 10 Mio. Euro oder 2 % des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Mio. Euro oder 1,4 % des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen.

Leitungsorgane (Geschäftsführer*innen und Vorstand) haften für Verstöße, wenn essenzielle Risikoabwägungen vernachlässigt oder ignoriert wurden.

Wie gestalten Sie am besten die Umsetzung?

  1. Betroffenheit klären
  2. Ressourcen einplanen: Planen Sie Budget und personelle Ressourcen für die Umsetzung ein.
  3. Verantwortlichkeit klären: Bestimmen Sie eine Person im Unternehmen, die für die Umsetzung der Regelungen operativ (haupt-)verantwortlich ist.Suchen Sie sich rechtzeitig kompetente externe Partner*innen, die Sie bei der Umsetzung unterstützen.Die Leitungsorgane müssen die Maßnahmen bewilligen, ihre Umsetzung überwachen und haften persönlich für Verstöße.
  4. Risikoanalyse und Lücken in Bezug auf NIS 2
  5. Maßnahmen ermitteln
  6. Maßnahmen umsetzen
  7. Geschäftskontinuität sicherstellen
  8. kontinuierliche Überprüfung

Wir helfen Ihnen mit konkreten Themen weiter. Kontaktieren Sie uns gerne mit Ihren Fragen:

KONTAKT

 

Weiterführende Informationen

Cybersicherheits-Richtlinie NIS 2 - WKO.at

NIS 2.0 – was kommt auf uns zu?

Amtsblatt der EU 2022 (NIS 1)

Amtsblatt der EU 2016 (NIS 1)

Zur Produktgruppe Überprüfung nach NISG

Schon gewusst? CIS ist als qualifizierte Stelle eines der wenigen vom Bundesministerium für Arbeit und Wirtschaft (BMAW) berufenen Unternehmen, die aufgrund ihrer Kompetenz NIS 2 Prüfungen am heimischen Markt durchführen können.

Weitere News & Events

Immer topaktuell informiert

18. Sep 2024

Event: CIS Compliance Summit 2024

Security | Privacy | Continuity

Mehr erfahren
25. Sep 2023

Auszeichnung „CISO of the Year“ zum zweiten Mal verliehen

Die besten Chief Information Security Officer des Landes sind gekürt:

Mehr erfahren
22. Sep 2023

Neuer Trainingsfolder der CIS veröffentlicht

Zahlreiche Neuerungen am Puls der Zeit

Mehr erfahren
20. Sep 2023

New Work: Durch neue Arbeitsweisen und Technologien bleibt der Mensch Risikofaktor Nummer 1

Das war der CIS Compliance Summit 2023

Mehr erfahren
12. Sep 2023

Business Continuity rückt in den Fokus

Ein Schnittstellenthema mit Boost durch NIS und DORA

Mehr erfahren
07. Aug 2023

Im Gespräch mit Harald Erkinger und Christoph Mondl über New Work, Chancen und Risiken

Die aktuellen Themen der Cyber Security

Mehr erfahren
03. Aug 2023

Auf welches Know-how wir uns beim CIS Compliance Summit 2023 freuen dürfen

Die Vorfreude auf hochkarätige Vortragende steigt!

Mehr erfahren
01. Aug 2023

Cyberkriminalität – 3 aktuelle Gefahren, mit denen Sie rechnen müssen!

Neuer Bericht des BKI

Mehr erfahren
27. Jul 2023

Webinar ISO/IEC 27001:2022: Was Sie wissen müssen

CIS-Webinar am 9. November

Mehr erfahren
09. Nov 2023

Event: Webinar: Neue ISO 27001:2022 – Das müssen Unternehmen jetzt wissen

Webinarreihe Unternehmen & Qualität – Praxiserprobte Lösungen

Mehr erfahren
06. Jul 2023

Global Threat Report 2023: Trends in aktive Chancen umwandeln

Erkenntnisse, Trends und Handlungsempfehlungen

Mehr erfahren
30. Jun 2023

Mit ISO 27018 und ISO 27017 den Himmel der Datensicherheit erobern!

Cloud-Zertifizierungen als Wettbewerbsvorteil

Mehr erfahren
+43 1 532 98 90