Cybersicherheit: NIS 2-Richtlinie seit 16.1.2023 in Kraft | in Österreich umzusetzen bis 17.10.2024
Deutliche Ausweitung des Kreises verpflichteter Unternehmen
Lesedauer: 4 Minuten
Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) wurde am 27.12.2022 im Amtsblatt der EU 2022 L 333/80 veröffentlicht und ist am 16.1.2023 in Kraft getreten. Die Richtlinie muss allerdings noch bis spätestens zum 17.10.2024 ins österreichische Recht übernommen werden. Bis dahin gelten die Bestimmungen des NIS-Gesetzes, der NIS-Verordnung und der EU-NIS-Durchführungsverordnung.
Die Nachfolgeregelung für die NIS-Richtlinie 2016/1148 soll eine Stärkung der Cybersicherheit sowie insgesamt ein hohes gemeinsames Cybersicherheitsniveau in der EU herbeiführen, indem sie ein einheitliches Sicherheitsniveau für Netzwerke und Informationssysteme kritischer und sensibler Infrastrukturen in den Mitgliedsländern schafft.
Die erste NIS-Richtlinie 2016/1148 trat bereits vor sechseinhalb Jahren in Kraft. Mit dieser beschloss die EU erstmals umfassende Regelungen für Cybersicherheit für Betreiber wesentlicher Dienste und bestimmte Anbieter digitaler Dienste. In Österreich erfolgte die Umsetzung der unionsrechtlichen Vorgaben durch das Netz- und Informationssystemsicherheitsgesetz (NISG) sowie die NIS-Verordnung.
Neuerungen durch die NIS 2-Richtlinie
Im Zuge der zunehmenden Digitalisierung steigen auch das Risiko und die Bedrohungen durch Cyberangriffe. Vor diesem Hintergrund stellt die NIS 2-Richtlinie höhere Sicherheitsanforderungen an die Unternehmen und sieht zugleich strengere Sanktionsbestimmungen vor. Die neue Richtlinie soll eine raschere, besser koordinierte Reaktion auf Cyberkrisen auf nationaler, wie auch auf EU-Ebene ermöglichen.
Zu den wesentlichen Neuerungen zählen einerseits die erhebliche Ausweitung des Kreises verpflichteter Unternehmen und andererseits die Aufgabe der Systematik von „Betreibern wesentlicher Dienste“ und „Anbietern digitaler Dienste“ zugunsten einer Systematik von „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“.
Wesentliche Einrichtungen, wichtige Einrichtungen
Mit der nunmehrigen Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen, für die zum Teil unterschiedliche Verpflichtungen gelten, geht die bereits erwähnte Ausweitung der Liste der erfassten Sektoren einher:
Als wesentlich gelten folgende Einrichtungen bzw. Unternehmen aus folgenden Bereichen:
- In Anhang I genannte Sektoren (wie Energie, Verkehr, Wasserversorgung, Gesundheitswesen, Abwasser, digitale Infrastruktur, öffentliche Verwaltung oder Weltraum), außerdem
- qualifizierte Vertrauensdienstanbieter, Domänennamenregister der Domäne oberster Stufe und DNS-Diensteanbieter sowie
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste und
- Einrichtungen der öffentlichen Verwaltung.
Als wichtig gelten die folgenden Einrichtungen bzw. Unternehmen aus folgenden Bereichen:
- Post- und Kurierdienste,
- Abfallbewirtschaftung,
- Chemie (Herstellung und Handel),
- Lebensmittel (Produktion, Verarbeitung, Vertrieb),
- Hersteller bestimmter Waren (u.a. Medizinprodukte, Datenverarbeitungsgeräte, Maschinenbau, Kfz),
- Anbieter digitaler Dienste (Plattformen für Dienste sozialer Netzwerke) sowie
- Forschungseinrichtungen.
Die Mitgliedstaaten haben die Möglichkeit, darüber hinaus noch weitere wesentliche und wichtige Einrichtungen zu benennen.
Anwendungsbereich
In den Anwendungsbereich fallen fortan alle mittleren und großen Unternehmen in den als wesentlich bzw. wichtig identifizierten Sektoren. Klein- und Kleinstunternehmen fallen grundsätzlich nicht in den Anwendungsbereich – mit Ausnahme von besonders sicherheitskritischen Diensten wie dem Anbieten öffentlicher elektronischer Kommunikationsnetze oder dem Anbieten von Vertrauensdiensten, welche unabhängig von ihrer Größe dem Anwendungsbereich der Richtlinie unterliegen.
Maßnahmen
Die Richtlinie sieht nunmehr weitergehende Maßnahmen für die verpflichteten Unternehmen vor. Wie bereits unter der ersten NIS-Richtlinie bestehen präventive und reaktive Verpflichtungen.
Zu den präventiven Verpflichtungen zählt die wirksame Umsetzung von Risikomanagementmaßnahmen nach einem risikobasierten Vorgehen unter Verantwortung der Unternehmensleitung, worunter u.a. zu verstehen sind:
- Risikoanalyse- und Informationssicherheitskonzepten,
- Maßnahmen zur Bewältigung von Sicherheitsvorfällen,
- Maßnahmen zur Aufrechterhaltung des Betriebs (z.B. Back-up-Management und Wiederherstellung),
- Konzepte für Zugriffskontrollen,
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung, gesicherte Kommunikation uam.
Betroffene Unternehmen haben eine Liste an grundlegenden Maßnahmen zur sog. Cyberhygiene - auch betreffend ihre Lieferketten - einzuführen, z.B.:
- Zero-Trust-Grundsätze,
- Software-Updates,
- Gerätekonfiguration,
- Netzwerksegmentierung,
- Identitäts- und Zugriffsmanagement,
- Sensibilisierung der Nutzer,
- Organisation von Schulungen für Mitarbeiter sowie
- Schärfung des Bewusstseins für Cyberbedrohungen, Phishing oder Social-Engineering-Techniken.
Meldepflichten
Zu den reaktiven Verpflichtungen zählen insbesondere die Meldepflichten der Richtlinie. Signifikante Vorfälle und signifikante Bedrohungen sind den Behörden zu melden, wobei genaue Vorgaben für Ablauf, Inhalt und Zeitrahmen solcher Meldungen gelten:
Konkret muss unverzüglich, jedenfalls aber innerhalb von 24 Stunden nach Kenntnisnahme, eine sogenannte Frühwarnung abgegeben werden. In weiterer Folge hat binnen 72 Stunden eine Meldung des Sicherheitsvorfalls zu erfolgen. Spätestens ein Monat nach Übermittlung dieser Meldung ist ein Abschlussbericht zu erstellen.
Aufsicht und Durchsetzungsmaßnahmen
Die zuständigen Behörden können Vor-Ort-Kontrollen, regelmäßige Sicherheitsprüfungen und anlassbezogene ad-hoc-Prüfungen vornehmen. Sie können außerdem bestimmte Informationen und auch Datenzugänge anfordern. Für wesentliche Einrichtungen sind Prüfungen regelmäßig und ohne konkreten Anlassfall möglich, wohingegen wichtige Einrichtungen nur bei Vorliegen eines begründeten Verdachts überprüft werden können.
Haftung und Sanktionsregime
Verstöße werden entsprechend den einzelstaatlichen gesetzlichen Vorgaben sanktioniert – diese sind von den Mitgliedstaaten wirksam, verhältnismäßig und abschreckend auszugestalten. Der Bußgeldrahmen wird für wesentliche Einrichtungen mit einem Höchstbetrag von mindestens 10 Mio. EUR oder 2 % des weltweiten Umsatzes - je nachdem, welcher Betrag höher ist - begrenzt. Für wichtige Einrichtungen liegt der Höchstbetrag bei zumindest 7 Mio. EUR oder bei 1,4 % des weltweiten Umsatzes. Sofern ein Verstoß zu einer Geldbuße nach der DSGVO führt, wird nach der NIS 2-Richtlinie keine Geldbuße verhängt.
Leitungsorgane wesentlicher und wichtiger Einrichtungen sind verpflichtet, die Umsetzung der Risikomanagementmaßnahmen zu überwachen und können für Verstöße dagegen verantwortlich gemacht werden, wobei die nähere Ausgestaltung dieser Haftung einzelstaatlich zu regeln ist.
Nächste Schritte
Die Mitgliedstaaten haben bis zum 17.10.2024 die erforderlichen Vorschriften zu erlassen, um dieser Richtlinie nachzukommen und diese Vorschriften ab dem 18.10.2024 anzuwenden. In Österreich ist daher mit umfassenden Anpassungen im NIS-Gesetz zu rechnen.
Informationsangebot der Wirtschaftskammer für Unternehmen
Mit Blick auf den neuen, durch die NIS 2-Richtlinie deutlich erweiterten Kreis der von den Vorgaben für die Cybersicherheit betroffenen Unternehmen stellt die Wirtschaftskammer ein umfassendes Online-Informationsangebot zur Verfügung, um Unternehmen zum einen die Prüfung zu ermöglichen, ob sie von den Verpflichtungen der NIS 2-Richtlinie selbst betroffen sind – hierzu steht der Online Ratgeber „Ist mein Unternehmen von NIS2 betroffen?“ zur Verfügung. Zum anderen findet sich auf der WKO.at-Infoseite zu NIS2 ein regelmäßig aktualisiertes Informationsangebot zum Thema NIS 2-Richtlinie sowie unter it-safe.at ein entsprechendes Angebot zu Cybersicherheit insgesamt samt weiterführender Links.
Hinweis: Bis zur Umsetzung der NIS 2-Richtlinie in österreichisches Recht gelten die Bestimmungen des NIS-Gesetzes, der NIS-Verordnung und der EU-NIS-Durchführungsverordnung.
Stand: 01.07.2024