Überblick zu Fristen, Folgen und betroffene Unternehmen
NIS 2: Was muss Ihr Unternehmen wann umsetzen?
Mit der neuen Cybersicherheits-Richtlinie mit der Bezeichnung "NIS 2" gelten ab Oktober 2024* für viele Unternehmen bestimmter Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen.
- Welche Unternehmen sind betroffen?
- Zählt dazu auch Ihr Unternehmen?
- Welche Konsequenzen drohen, falls Sie sich nicht an die Regelung halten?
All das und vieles mehr haben wir in diesem Beitrag für Sie zusammengefasst.
*Update Juli 2024: 17. Oktober ist die Frist für die Umsetzung der EU NIS-2-Richtlinie in nationales Recht als NIS-2-Gesetz. Der erste Juni 2025 ist das Inkrafttretungsdatum der im NIS-2-Gesetz definierten Vorgaben. Wann das NIS-2-Gesetz tatsächlich in Kraft tritt, ist abhängig vom Ausgang des parlamentarischen Gesetzgebungsverfahrens.
Was ist NIS 2?
NIS 2 steht für die Sicherheit der Netz- und Informationssysteme. Momentan gilt die NIS-Richtlinie aus 2016, die in Österreich durch das NIS-Gesetz umgesetzt wurde. Diese Regelung spezifiziert bereits Anforderungen an die Cybersicherheit in für die Gesellschaft wichtigen Branchen.
Die Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS 2-Richtlinie) stellt die Nachfolge der Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz -und Informationssystemen in der Union (NIS-Richtlinie) dar und wird diese inhaltlich endgültig mit 18. Oktober 2024 ersetzen.
Was ist zu beachten?
Es sind Risikomanagementmaßnahmen zu treffen und Berichtspflichten zu beachten. Die Leitungsorgane (Geschäftsführer*in bei GmbH, Vorstand bei Aktiengesellschaft) überwachen die Umsetzung und haften bei Verstößen.
Im Gegensatz zur bestehenden Richtlinien, in der die von der Regelung betroffenen Unternehmen per Bescheid als „wesentlicher Dienst“ klassifiziert wurden, gilt bei NIS 2, dass die Unternehmen selbst verantwortlich dafür sind, zu prüfen ob sie unter NIS 2 Richtlinie fallen.
Ab wann gelten die neuen Regelungen?
Spätestens ab 18. Oktober 2024 gelten die neuen Regelungen.
Die derzeitigen Regelungen sind am 16. Jänner 2023 in Kraft getreten und ersetzten die Richtlinie zur Netz- und Informationssystemsicherheit (NIS Richtline). Die Richtlinie muss bis zum 17. Oktober 2024 von den Mitgliedstaaten umgesetzt werden.
Welche Unternehmen sind betroffen?
Große und mittlere Unternehmen sind betroffen aus den Sektoren mit hoher Kritikalität und sonstige kritische Sektoren.
Wesentliche Dienste
Sektoren mit hoher Kritikalität
Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten B2B, öffentliche Verwaltung, Weltraum
Wichtige Dienste
Sonstige kritische Sektoren
Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes/herstellendes Gewerbe, Anbieter digitaler Dienste, Forschung (fakultativ)
Ausnahmen
Kleine Unternehmen, die entweder einen Jahresumsatz von höchstens 10 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Mio. Euro beläuft, fallen nicht unter NIS 2.
Allerdings gibt es ein paar Ausnahmen, die unabhängig von ihrer Größe in den Anwendungsbereich fallen:
- Vertrauensdienstanbieter
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
- TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
- Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, dass essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.
Was sind die geforderten Mindestmaßnahmen in puncto Risikomanagement?
- Konzept Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Business Continuity und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
- Cyberhygiene und Schulungen zur Cybersicherheit
- Kryptografie und ggf. Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle
- Multi-Faktor-Authentifizierung
Welche Berichtspflichten gilt es zu beachten?
Bei Cybersicherheitsvorfällen ist die Behörde binnen 24 Stunden grob zu informieren, binnen 3 Tagen muss eine ausführliche Einschätzung an die Behörde erfolgen, nach einem Monat ist ein Abschlussbericht zu übermitteln.
Gibt es Folgen für Ihr Unternehmen, wenn Sie die Regelungen nicht einhalten?
Bei Nichterfüllung drohen Sanktionen bis zu 10 Mio. Euro oder 2 % des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Mio. Euro oder 1,4 % des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen.
Leitungsorgane (Geschäftsführer*innen und Vorstand) haften für Verstöße, wenn essenzielle Risikoabwägungen vernachlässigt oder ignoriert wurden.
Wie gestalten Sie am besten die Umsetzung?
- Betroffenheit klären
- Ressourcen einplanen: Planen Sie Budget und personelle Ressourcen für die Umsetzung ein.
- Verantwortlichkeit klären: Bestimmen Sie eine Person im Unternehmen, die für die Umsetzung der Regelungen operativ (haupt-)verantwortlich ist.Suchen Sie sich rechtzeitig kompetente externe Partner*innen, die Sie bei der Umsetzung unterstützen.Die Leitungsorgane müssen die Maßnahmen bewilligen, ihre Umsetzung überwachen und haften persönlich für Verstöße.
- Risikoanalyse und Lücken in Bezug auf NIS 2
- Maßnahmen ermitteln
- Maßnahmen umsetzen
- Geschäftskontinuität sicherstellen
- kontinuierliche Überprüfung
Wir helfen Ihnen mit konkreten Themen weiter. Kontaktieren Sie uns gerne mit Ihren Fragen:
Weiterführende Informationen
Cybersicherheits-Richtlinie NIS 2 - WKO.at
NIS 2.0 – was kommt auf uns zu?
Amtsblatt der EU 2022 (NIS 1)
Amtsblatt der EU 2016 (NIS 1)
Schon gewusst? CIS ist als qualifizierte Stelle eines der wenigen vom Bundesministerium für Arbeit und Wirtschaft (BMAW) berufenen Unternehmen, die aufgrund ihrer Kompetenz NIS 2 Prüfungen am heimischen Markt durchführen können.