Cybersecurity, Cloud
© Kanawaith | stock.adobe.com

Cybersicherheits-Richtlinie­­ NIS 2

Neue Regelungen für mehr Cybersicherheit in der EU

Lesedauer: 10 Minuten

14.11.2024

Aktuelles


Mit der neuen Cybersicherheitsgesetzgebung NIS2 werden für rund 4.000 Unternehmen und Einrichtungen ab mittlerer Größe aus 18 festgelegten Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen gelten. Verpflichtet werden auch Dienstleister und Lieferanten betroffener Einrichtungen. 

Das Umsetzungsgesetz zur NIS2-Richtlinie wird in Österreich voraussichtlich 2025 in Kraft treten (Mehr Informationen). Unternehmen sollten im eigenen Interesse aber bereits jetzt die Umsetzung im Betrieb forcieren.


Allgemeines

Wozu NIS2?

Lieferkette und NIS2: FACC und KSV1870

Produktion international und NIS2: Rosenbauer

Was bedeutet NIS?

NIS steht für die Sicherheit der Netz- und Informationssysteme. Derzeit gilt noch die NIS-Richtlinie aus 2016, die in Österreich mit dem NIS-Gesetz umgesetzt wurde. Die derzeit geltenden Regelungen betreffen rund 100 Unternehmen in Österreich, das sind vorwiegend Unternehmen der kritischen Infrastruktur und Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen und Cloud Computing-Dienste).

Mit dem kommenden NISG 2025 wird der Anwendungsbereich auf mehrere tausend Unternehmen ausgeweitet und die Verpflichtungen erweitert.

Ab wann gelten die neuen Regelungen für Unternehmen?

Die NIS2-Richtlinie sollte bis 17. Oktober 2024 in den EU-Mitgliedstaaten umgesetzt werden. Dies wird in den meisten EU-Mitgliedstaaten nicht gelingen und verschafft den betroffenen Einrichtungen mehr Zeit für die Vorbereitung, weil die Regelungen für die Unternehmen erst mit der Umsetzung in nationales Recht gelten. Unternehmen sollten sich aber jetzt vorbereiten und damit rechnen, dass das NISG 2025 in Kraft tritt. Wann die Umsetzung in Österreich genau erfolgt, ist abhängig vom parlamentarischen Gesetzgebungsprozess und derzeit noch offen. In Deutschland wird mit einer Umsetzung in nationales Recht Anfang 2025 gerechnet (Infos zu Deutschland).

Was ist das Ziel von NIS2?

Die Cybersicherheits-Richtlinie soll die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU verbessern.

Der bisherige Anwendungsbereich der NIS-Richtlinie nach Sektoren wird mit NIS2 auf einen weit größeren Teil der Wirtschaft ausgeweitet, um eine umfassende Abdeckung der Sektoren und Dienste zu gewährleisten, die im Binnenmarkt für grundlegende gesellschaftliche und wirtschaftliche Tätigkeiten von entscheidender Bedeutung sind.

Grafik EU Cybersicherheitsgesetz
© VectorMine | stock.adobe.com

Betroffene Einrichtungen müssen daher geeignete Risikomanagementmaßnahmen für die Sicherheit ihrer Netz- und Informationssysteme treffen und unterliegen Meldepflichten. 

Welchen Beitrag kann NIS2 für die Cybersicherheit leisten?

Gesundheitsbereich und Cybersicherheit: Therme Bad Waltersdorf

IT-Dienstleistung und NIS2: more.Software

Robotik und NIS2: MIMM


Telekom und NIS2: A1


Technologie und Maschinenbau und NIS2: Palfinger

Lebensmittelproduktion und NIS2: Salzburg Milch


Wer ist betroffen?

Betroffen sind große und mittlere Unternehmen aus folgenden Sektoren:

Sektoren mit hoher Kritikalität:Sonstige kritische Sektoren:
  • Energie
  • Verkehr
  • Bankwesen*)
  • Finanzmarktinfrastrukturen*)
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten B2B
  • öffentliche Verwaltung
  • Weltraum
  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie
  • Lebensmittel
  • verarbeitendes/herstellendes Gewerbe**)
  • Anbieter digitaler Dienste
  • Forschung (fakultativ)

>> „Sektoren mit hoher Kritikalität“ laut Begutachtungsentwurf zum NISG 2024 (vorbehaltlich Gesetz)
>> „Sonstige kritische Sektoren“ laut Begutachtungsentwurf zum NISG 2024 (vorbehaltlich Gesetz) 

*) Im Finanzsektor hat die Verordnung (EU) 2022/2554, kurz „DORA“ (Digital Operational Resilience Act) Vorrang vor NIS2 (weitere Infos

**) Infos zur ÖNACE Klassifikation

Ab wann gilt ein Unternehmen als groß oder mittel?

Die Einstufung einer Einrichtung als „mittleres Unternehmen“ oder als „großes Unternehmen“ richtet sich nach der Anzahl der Mitarbeiter, dem Jahresumsatz und der Jahresbilanzsumme.

Großes Unternehmen

Eine Einrichtung gilt als „großes Unternehmen“, wenn sie zumindest 250 Mitarbeiter beschäftigt oder wenn sie einen Jahresumsatz von über 50 Millionen Euro erzielt UND sich die Jahresbilanzsumme auf über 43 Millionen Euro beläuft.

Mittleres Unternehmen

Eine Einrichtung gilt als „mittleres Unternehmen“, wenn sie zumindest 50 Mitarbeiter beschäftigt, ODER wenn sie einen Jahresumsatz von über zehn Millionen Euro erzielt UND sich die Jahresbilanzsumme auf über zehn Millionen Euro beläuft, sofern sie nicht bereits als großes Unternehmen gilt.

Die Richtlinie und der Begutachtungsentwurf zum NISG 2024 verweisen bei der Einstufung auf die Empfehlung der Kommission zur Definition von KMU. Beispiele dazu finden Sie im zugehörigen Benutzerleitfaden.

» Weitere Informationen 

Sind auch kleine Unternehmen betroffen?

Kleine Unternehmen, d.h. Unternehmen, die weniger als 50 Mitarbeiter:innen beschäftigen und die entweder einen Jahresumsatz von höchstens 10 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Mio. Euro beläuft, fallen nicht unter NIS2.

Dabei gibt es jedoch Ausnahmen − folgende Unternehmen fallen unabhängig von ihrer Größe in den Anwendungsbereich:

  • Vertrauensdiensteanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
  • TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
  • Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, das essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.

Zusätzlich müssen auch Dienstleister und Lieferanten von betroffenen Unternehmen Sicherheitsvorkehrungen einhalten. Unter Basismaßnahmen für Informationssicherheit im Unternehmen finden Sie eine Hilfestellung und Musterdokumente zu wichtigen Sicherheitsmaßnahmen, die bereits einen Großteil der Cyberangriffe abwehren können.

Was sind wesentliche Einrichtungen und was sind wichtige Einrichtungen?

Als wesentliche Einrichtungen gelten große Unternehmen aus den Sektoren

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarkt
  • Gesundheit
  • Trinkwasser
  • Abwasser
  • Verwaltung von IKT-Diensten
  • Weltraum

(Sektoren mit hoher Kritikalität laut Anhang I).

Mittlere Unternehmen dieser Sektoren gelten als wichtige Einrichtungen.

Ebenso gelten große und mittlere Unternehmen aus den Sektoren

  • Post und Kurier
  • Abfall
  • Chemie
  • Lebensmittel
  • Produktion
  • Digitale Dienste
  • Forschung 

(„sonstige kritische Sektoren“ laut Anhang II) als wichtige Einrichtungen.

Kleinunternehmen sind grundsätzlich nicht im direkten Anwendungsbereich (können aber über die Lieferkette betroffen sein).

Was sind die Unterschiede, ob ein Unternehmen als wesentlich oder wichtig gilt?

Ob man als Unternehmen eine wesentliche oder eine wichtige Einrichtung im Sinne der Richtlinie ist, macht bei der Umsetzung der geforderten Sicherheitsmaßnahmen (siehe unten) keinen Unterschied.

Es gibt jedoch Unterschiede bei der Aufsicht und den Sanktionen:

Wesentliche EinrichtungenWichtige Einrichtungen
  • regelmäßige und gezielte Sicherheitsprüfungen („ex-ante“)
  • Stichprobenkontrollen
  • Bußgeldrahmen 10 Mio. Euro oder 2 Prozent des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist)
  • Überprüfungen nur bei begründetem Verdacht („ex-post“)
  • Vor-Ort-Kontrollen und externe nachträgliche Aufsichtsmaßnahmen
  • Bußgeldrahmen 7 Mio. Euro oder bei 1,4 Prozent des weltweiten Umsatzes 

Was gilt für die „Digitale Infrastruktur“?

Für den Sektor „Digitale Infrastruktur“ (laut Anhang I der Richtlinie) gibt es Ausnahmeregelungen für den Anwendungsbereich und die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen:

Sektor

Art der Einrichtung

groß

mittel

klein







Digitale Infrastruktur

TLD-Namenregister

qualifizierte Vertrauensdiensteanbieter


                 wesentlich

DNS Diensteanbieter (ausgenommen Betreiber von Root-Nameserver) 

Anbieter öffentlicher elektronischer Kommunikationsnetze oder elektronischer Kommunikationsdienste


        wesentlich


wichtig
Vertrauensdiensteanbieterwesentlich        wichtig

Betreiber von Internet-Knoten




wesentlich



wichtig

Anbieter von Cloud-Computing-Diensten

Anbieter von Rechenzentrumsdiensten

Betreiber von Content Delivery Networks (CDN)

Verwaltung von IKT-Dienstenwesentlichwichtig   

Für das Cybersicherheitsrisikomanagement und Berichtspflichten für digitale Infrastrukturen, Anbieter und IKT-Servicemanager wird es einen EU-weit gültigen unmittelbar anwendbaren Durchführungsrechtsakt der Europäischen Kommissiongeben, der von der Kommission am 17.10. angenommen wurde.

>> Presseaussendung


NIS2 - Pflichten im Unternehmen

Was gibt die Richtlinie für Unternehmen vor?

Betroffene Einrichtungen müssen sich binnen 3 Monaten nach Inkrafttreten des NISG 2024 registrieren. Es sind Risikomanagementmaßnahmen zu treffen und Berichtspflichten zu beachten. Die Leitungsorgane (Geschäftsführer:in bei GmbH, Vorstand und Aufsichtsrat bei Aktiengesellschaft) haben die Einhaltung der Risikomanagementmaßnahmen sicherzustellen und zu beaufsichtigen, haften der Einrichtung für den schuldhaft verursachten Schaden und müssen an für diese spezifisch gestalteten Cybersicherheitsschulungen teilnehmen.

Welche Risikomanagementmaßnahmen sind zu treffen?

10 Risikomanagementmaßnahmen (Mindestmaßnahmen):

  • Konzept Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Business Continuity und Krisenmanagement
  • Sicherheit der Lieferkette
  • Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
  • Cyberhygiene und Schulungen zur Cybersicherheit
  • Kryptografie und ggf. Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle
  • Multi-Faktor-Authentifizierung
Cyber-Security
© Blue Planet Studio | stock.adobe.com

Dabei zu berücksichtigen sind:

  • der Stand der Technik
  • europäische und internationalen Normen
  • Kosten der Umsetzung
  • bestehendes Risiko

Bei der Bewertung der Verhältnismäßigkeit dieser Maßnahmen sind das Ausmaß der Risikoexposition der Einrichtung, die Größe der Einrichtung und die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.

Der Begutachtungsentwurf zum NISG 2024 beschreibt die Bereiche, in denen wesentliche und wichtige Einrichtungen Risikomanagementmaßnehmen zu ergreifen haben, in der Anlage 3 (vorbehaltlich Gesetz).

Die Risikomanagementmaßnahmen werden noch in einer nationalen Verordnung zum NISG festgelegt werden.

Für digitale Sektoren (u.a. Anbieter von Cloud-Computing-Diensten, Rechenzentrumsdiensten oder Online-Marktplätzen sowie Managed Services Provider) gibt es eine EU-Durchführungsverordnungder Europäischen Kommission. Daraus lässt sich eine Tendenz schließen, wie die Europäische Kommission einzelne Risikomanagementmaßnahmen interpretiert.

Genannt sind folgende technische und organisatorische Anforderungen:

  1. policy on the security of network and information systems
  2. risk management policy
  3. incident handling
  4. business continuity and crisis management
  5. supply chain security
  6. security in network and information systems, acquisition, development and maintenance
  7. policies and procedures to assess the effectiveness of cybersecurity risk-management measures
  8. basic cyber hygiene practices and security training
  9. cryptography
  10. human resources security
  11. access control
  12. asset management
  13. environmental and physical security

Was bedeutet „Sicherheit der Lieferkette“?

Von NIS2 betroffene Einrichtungen müssen die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern beachten.

Sie müssen die spezifischen Schwachstellen der einzelnen unmittelbaren (Dienste-)Anbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse, berücksichtigen.

» Weitere Informationen

Welche Berichtspflichten sind zu beachten?

Bei erheblichen Cybersicherheitsvorfällen gibt es ein dreistufiges Meldeverfahren an das zuständige CSIRT (Cybersecurity Incident Response Team).

Fristen

  • Unverzüglich, innerhalb von 24 Stunden: Frühwarnung (ggf. Verdacht auf rechtswidrige und schuldhafte Handlung oder grenzüberschreitende Auswirkungen)
  • Unverzüglich, jedenfalls innerhalb von 72 Stunden: Meldung (Schweregrad, Auswirkungen, ggf. Komprimittierungsindikatoren)
  • Spätestens einen Monat nach Frühwarnung: Abschlussbericht (Beschreibung Vorfall, einschließlich Schweregrad und Auswirkungen, Art der Bedrohung, Ursachen, Abhilfemaßnahmen)

Auf Ersuchen des CSIRT oder der Behörde Zwischenberichte über Statusaktualisierungen

Data Breach

Sollte es im Zuge des Cybersicherheitsvorfalls auch zu einer Verletzung des Schutzes personenbezogener Daten (data breach) gekommen sein, sind zusätzlich die Melde- und Berichtspflichten nach DSGVO zu beachten.

Freiwillige Meldungen nach NIS

Weiters gibt es die Möglichkeit der freiwilligen Meldung von (Beinahe-)Cybersicherheitsvorfällen, und -bedrohungen an das CSIRT, das die Meldungen zusammenfasst und an die Cybersicherheitsbehörde weiterleitet.

Watchlist Internet

Melden Sie betrügerischen Nachrichten und Internetfallen auch an die Watchlist Internet. So können andere Unternehmen rechtzeitig gewarnt werden.

Was passiert, wenn Unternehmen die Regelungen nicht einhalten?

Bei Nichterfüllung drohen Sanktionen bis zu 10 Mio. Euro oder 2 % des Gesamtjahresumsatzes des Konzerns bei wesentlichen Einrichtungen bzw. 7 Mio. Euro oder 1,4 % des Gesamtjahresumsatzes des Konzerns bei wichtigen Einrichtungen.

Wer ist verantwortlich?

Die Leitungsorgane (Geschäftsführung bei GmbH, Vorstand und Aufsichtsrat bei Aktiengesellschaften) haben die Einhaltung der Risikomanagementmaßnahmen sicherzustellen und zu beaufsichtigen, haften der Einrichtung für den schuldhaft verursachten Schaden und müssen an für diese spezifisch gestalteten Cybersicherheitsschulungen teilnehmen.

>> Weitere Informationen


Umsetzung

Wie fange ich am Besten bei der Umsetzung an?

1. Betroffenheit klären: Nutzen Sie unseren kostenlosen Online-Ratgeber, um zu klären, ob Ihr Unternehmen betroffen ist.

2. Ressourcen einplanen: Planen Sie Budget und personelle Ressourcen für die Umsetzung ein.

3. Verantwortlichkeit klären:

  • Bestimmen Sie eine Person im Unternehmen, die für die Umsetzung der Regelungen operativ (haupt-)verantwortlich ist.
  • Suchen Sie sich rechtzeitig kompetente externe Partner, die Sie bei der Umsetzung unterstützen.
  • Die Leitungsorgane müssen die Maßnahmen billigen, ihre Umsetzung überwachen und haften persönlich für Verstöße.

4. Risikoanalyse und Lücken in Bezug auf NIS2

5. Maßnahmen ermitteln

6. Maßnahmen umsetzen

7. Geschäftskontinuität sicherstellen

8. kontinuierliche Überprüfung

Wo erhalten Unternehmen Unterstützung?


Aus- und Weiterbildung

NIS2-Webinar am 19.11.

NIS2 incite Workshops physisch am 14.11. 

(80% Förderung für UBIT Wien Mitglieder)

  • Ort: Haus der Wiener Wirtschaft, 1020 Wien
  • Zeit: 9.00-17.00 Uhr
  • Inhalt: NIS2-Richtlinie (vormittags), zusätzlich Risikomanagement (nachmittags)

NIS2 incite Online-Seminar für Führungskräfte

  • Zeit: 9.00-17.00 Uhr
  • Inhalt: NIS2 und Informationssicherheit für Führungskräfte
  • Anmeldung: 14.1./16.1.2024

>> WIFI-Angebote zu NIS2

Cyber Resilience Act – Webinar incite am 17.12.

  • Zeit: 9.00-13 Uhr
  • Inhalt: Informationen und praktische Umsetzungsstrategien zum Cyber Resilience Act
  • Anmeldung: 17.12.2024

Sie sind Berater:in?

Machen Sie sich im größten und aktuellsten Online-Firmenverzeichnis Österreichs WKO Firmen A-Z für potenzielle Kund:innen sichtbar. Die Inhalte können Sie selbst gestalten, neu ist auch eine Eintragungsmöglichkeit zu NIS.

So einfach geht es: Erstellen Sie Ihren Firmen A-Z-Eintrag unter registrierung.wko.at bzw. loggen Sie sich nach der Registrierung unter benutzerkonto.wko.at ein.


Weitere Informationen

NIS2 in EU-Staaten (openkritis.de)
Unterschiede in den nationalen Umsetzungen

NIS2 Update - Veranstaltung Cybersicherheit in der Lieferkette
Mag. Arno Spiegel | BKA Abteilung I/8 (Cybersicherheit und Krisenrechenzentrum)

Cybersicherheit in der EU: Was bedeutet die NIS2-Richtlinie für Unternehmen?
Webinar 

NIS2 für Netzbetreiber
Webinar

Ist mein Unternehmen von NIS2 betroffen?
Online-Ratgeber NIS2

Cybersicherheit – Das NISG
Derzeit geltende Rechtslage (NIS-Richtlinie und NIS-Gesetz)

NIS − Verpflichtungen für Anbieter digitaler Dienste im Bereich Netz- und Informationssystemsicherheit
Derzeit geltende EU-NIS-Richtlinie, NIS-Gesetz und NIS-Verordnung