Nahaufnahme einer Computertastatur auf grauem Untergrund stehend. Auf der Tastatur liegen drei Würfel. Auf jeder Seite eines jeden Würfels ist ein leuchtendes Paragraph-Symbol.
© peterschreiber.media | stock.adobe.com

Netz- und Informationssystem-sicherheitsgesetz 2024 – NISG 2024

Begutachtungsentwurf vom 3. April 2024

Lesedauer: 4 Minuten

21.06.2024

Die Cybersicherheits-Richtlinie NIS2 muss bis 17. Oktober 2024 in jedem EU-Mitgliedstaat in nationales Recht umgesetzt werden. Der Begutachtungsentwurf sieht die Umsetzung in österreichisches Recht vor.

>> Offizielle Begutachtungsunterlagen 
>> Stellungnahme der WKÖ zum NISG2024
>> Alle Stellungnahmen zum NISG2024 (Parlamentswebsite)
>> Initiativantrag vom 13.06.2024  

Ziel der Gesetzgebung ist die Steigerung der Cyberresilienz betroffener Einrichtungen.

Die folgenden Informationen erfolgen auf Basis des Begutachtungsentwurfs vom 3.4.2024 und können sich im laufenden Gesetzgebungsprozess noch ändern. Trotz sorgfältiger Bearbeitung sind Fehler nicht ausgeschlossen.

Betroffen sind mittlere und große Unternehmen bestimmter Sektoren, sowie die Digitale Infrastruktur. Indirekt betroffen (über vertragliche Vereinbarungen) sind Dienstleister und Lieferanten von NIS2-betroffenen Unternehmen (Weitere Informationen).

Der Entwurf orientiert sich weitgehend an der NIS2-Richtlinie (Weitere Informationen).

Die NIS2-Richtlinie sieht vor, dass die Mitgliedstaaten die Regelungen bis 17. Oktober 2024 in nationales Recht umsetzen.

Der Initiativantrag zum NISG vom 13.6.2024 sieht allerdings ein Inkrafttreten ab 1. Juni 2025 vor. Wann das NISG2024 tatsächlich in Kraft tritt, ist abhängig vom Ausgang des parlamentarischen Gesetzgebungsverfahrens. Wir empfehlen betroffenen Einrichtungen mit der Umsetzung der Maßnahmen ehestmöglich zu beginnen.

Das NISG 2024 ist nun im parlamentarischen Gesetzgebungsverfahren. Für die Abstimmung im Nationalrat ist eine Zweidrittelmehrheit erforderlich. Bitte beachten Sie, dass daher noch jederzeit Änderungen am Gesetzesentwurf möglich sind.

Der Entwurf orientiert sich weitestgehend an der NIS2-RL und bringt insofern wenige „Überraschungen“. Die für Unternehmen relevante Bestimmungen finden sich insbesondere in:

§ 4 Behördenstruktur:

Zuständige Cybersicherheitsbehörde ist der Bundesminister für Inneres

Anwendungsbereich:

  • § 24 wesentliche und wichtige Einrichtungen
  • §§ 25, 26 Ermittlung der Unternehmensgröße
  • Anlage 1 und 2: betroffene Sektoren

§ 29 Registrierung:

Wesentliche und wichtige Einrichtungen haben sich innerhalb von drei Monaten ab Inkrafttreten des Gesetzes zu registrieren (Kontaktdaten, Teil- Sektor, ggf. IP-Adresse, Größenschwellenwerte).

§ 31 Governance:

Die Leitungsorgane (etwa Vorstand, Geschäftsführer, Aufsichtsrat) 

  • haben die Einhaltung der Maßnahmen sicherzustellen und zu beaufsichtigen
  • müssen an für diese spezifisch gestalteten Cybersicherheitsschulungen teilnehmen und
  • Mitarbeiter:innen Schulungen anbieten.

§ 32 und Anlage 3: Risikomanagementmaßnahmen:

Die Risikomanagementmaßnahmen sind Mindestmaßnahmen (siehe dazu Anlage 3 des Entwurfs).

Die technischen, operativen und organisatorischen Anforderungen werden noch in nationalen Verordnungen spezifiziert.

Für die Digitale Infrastruktur wird es noch eine gesonderte Durchführungsverordnung auf europäischer Ebene geben.

§ 33 Abs 1:

Nachweis der Wirksamkeit der Maßnahmen/Selbstdeklaration: wesentliche und wichtige Einrichtungen haben innerhalb von sechs Monaten nach Aufforderung durch die Cybersicherheitsbehörde dieser eine Aufstellung umgesetzter Risikomanagementmaßnahmen gemäß § 32 zu übermitteln.

§ 33 Abs 2:

Wesentliche Einrichtungen haben innerhalb von drei Jahren nach Aufforderung zur Selbstdeklaration, frühestens jedoch sechs Monate vor Ablauf dieser Frist, die Umsetzung der Risikomanagementmaßnamen gemäß § 32 gegenüber der Cybersicherheitsbehörde mittels einer Prüfung durch eine unabhängige Stelle nachzuweisen. (Dies ersetzt die derzeitigen „NIS1-Audits, wobei an Stelle der derzeitigen qualifizierten Stelle nun „unabhängige Stellen“ treten.)

§ 34 Berichtspflichten bei erheblichen Cybersicherheitsvorfällen:

Es ist ein 3-stufiges Meldeverfahren ab Kenntnis an das Computer Security Incident Response Team (CSIRT) vorgesehen:

  • Frühwarnung unverzüglich, längstens binnen 24 Stunden
  • Meldung innerhalb von 72 Stunden
  • Abschlussbericht spätestens nach 1 Monat (bzw.  Zwischenbericht und Abschlussbericht nach Beendigung)

§ 45 Sanktionen:

  • Wichtige Einrichtungen bis zu 7 Mio Euro oder 1,4% des Konzernjahresumsatzes
  • Wesentliche Einrichtungen bis zu 10 Mio Euro oder 2% Konzernjahresumsatz

Nein, es handelt sich um einen offiziellen Begutachtungsentwurf, der im parlamentarischen Gesetzgebungsprozess noch abgeändert werden kann. Auch der Zeitpunkt des Inkrafttretens ist derzeit noch offen. 

Betroffene Einrichtungen sollten so früh wie möglich mit den Vorbereitungen starten.

Ab Inkrafttreten des Gesetzes haben die Unternehmen laut Entwurf 3 Monate Zeit sich zu registrieren. Wie das genau erfolgen wird, wird noch in einer Verordnung festgelegt werden.

Nutzen Sie die Förderungen von KMU DIGITAL.

Fragen Sie für Förderungen in den Bundesländern auch in Ihrer jeweiligen Landeskammer nach.

Alle Infos zu Aus- und Weiterbildungsangeboten finden Sie auf unserer NIS2-Seite.

Weitere interessante Artikel