3D Illustration von einem geschlossenen Vorhangschloss vor einem geöffneten Laptop platziert, ringsum visuell die technischen Netzwerkfäden
© Hein | stock.adobe.com
Sparte Tourismus und Freizeitwirtschaft

NIS2-Richtlinie in der Tourismusbranche

FAQ: Die wichtigsten Antworten auf häufig gestellte Fragen zur Cybersicherheits-Richtlinie

Lesedauer: 6 Minuten

15.11.2023

Mit der neuen Cybersicherheits-Richtlinie mit der Bezeichnung "NIS 2" gelten ab Oktober 2024 für viele Unternehmen bestimmter Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen. 

Der Fragen und Antworten-Katalog hilft Betrieben der Tourismus und Freizeitwirtschaft bei der Umsetzung der Bestimmungen.

NIS2-Richtlinie in der Tourismusbranche

NIS steht für die Sicherheit der Netz- und Informationssysteme und ist die Cybersicherheits-Richtlinie. Sie ersetzt die bisherige Richtlinie zur Netz- und Informationssystemsicherheit (NIS-Richtlinie). 

Die bereits in Kraft getretene EU-Richtlinie muss bis 17. Oktober 2024 in nationales Recht umgesetzt werden.

Ab dann gelten für eine Vielzahl von vorwiegend mittleren und großen Unternehmen bestimmter Sektoren (siehe unter "Wer ist betroffen?") erstmals umfassende Auflagen im Bereich Cybersicherheit, insbesondere Risikomanagementmaßnahmen und Meldepflichten. Nähere Informationen zu Risikomanagementmaßnahmen finden Sie unter Cybersicherheits-Richtlinie NIS 2. Informationen zur Sicherheit der Lieferkette finden Sie unter Sicherheit der Lieferkette in der Cybersicherheits-Richtlinie NIS2.

Allgemein sind mittlere und große Unternehmen betroffen, die bestimmten in den Anhängen der Richtlinie erwähnten Sektoren zuzuordnen sind sowie die digitale Infrastruktur. Das sind:

Sektoren mit hoher Kritikalität:

(Anhang I wesentliche Einrichtungen sind große Unternehmen / wichtige Einrichtungen sind mittlere Unternehmen aus folgenden Bereichen:)

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • digitale Infrastruktur
  • Verwaltung von IKT-Diensten B2B
  • öffentliche Verwaltung
  • Weltraum

Sonstige kritische Sektoren:

(Anhang II: wichtige Einrichtungen sind mittlere und große Unternehmen aus folgenden Bereichen:)

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie (Herstellung und Handel)
  • Lebensmittel
  • verarbeitendes/herstellendes Gewerbe
  • Anbieter digitaler Dienste
  • Forschung (fakultativ)

Indirekt betroffen wird auch die Lieferkette sein (siehe "Sicherheit der Lieferkette").

In der Sparte Tourismus und Freizeitwirtschaft können daher insbesondere Betriebe betroffen sein, aus den Sektoren „Gesundheitswesen“ und „digitale Infrastruktur“ (z.B. Online Marktplätze). Näheres siehe unten unter dem Punkt "Betroffenheit in der Tourismusbranche".

Größenklasse

Kleines Unternehmen: 

Beschäftigte (VZÄ) < 50 und Jahresumsatz ≤ € 10 Mio. oder Jahresbilanzsumme ≤ € 10 Mio.

Mittleres Unternehmen:

Beschäftigte (VZÄ) < 250 und Jahresumsatz ≤ € 50 Mio. oder Jahresbilanzsumme ≤ € 43 Mio. 

Großes Unternehmen:

Beschäftigte (VZÄ) ≥ 250 und Jahresumsatz > € 50 Mio. oder Jahresbilanzsumme > € 43 Mio. 

Achtung:
Bei Unternehmen mit einer komplexeren Struktur (z.B. Tochtergesellschaft im Konzern) ist eine Einzelfallprüfung erforderlich. Für die Beurteilung wird neben der Unternehmensgröße berücksichtigt, ob es sich um ein eigenständiges Unternehmen, Partnerunternehmen (Beteilungen an anderen Unternehmen ab 25 % bis 50 %) oder verbundenes Unternehmen (Beteiligungen an anderen Unternehmen über 50 %) handelt.

Nähere Informationen finden Sie auf unter Cybersicherheits-Richtlinie NIS 2.

Kleine Unternehmen (siehe oben) fallen grundsätzlich nicht unter NIS2.

Jedoch gibt es Ausnahmen - folgende Unternehmen fallen unabhängig von ihrer Größe in den Anwendungsbereich der NIS2 Richtlinie:

  • Vertrauensdiensteanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
  • TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
  • Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, das essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.

Kleine Unternehmen können zusätzlich über die Lieferketten betroffen sein, d.h. auch Dienstleister und Lieferanten von NIS2-betroffenen Unternehmen müssen Sicherheitsvorkehrungen einhalten.

Weitere Informationen zur Lieferkette finden Sie unter Sicherheit der Lieferkette in der Cybersicherheits-Richtlinie NIS2.

Vorauszuschicken ist, dass es sich hier um eine unterstützende Auflistung handelt, der keine allgemeine Gültigkeit zukommt und die Einzelfallprüfung für das eigene Unternehmen nicht ersetzten kann.

  • Durch die explizite Auflistung laut Anhang I der NIS2-Richtlinie fallen Gesundheitsbetriebe in den Anwendungsbereich, sofern sie als mittlere und große Unternehmen eingestuft werden können. Z.B.: Der Betreiber einer Privatklinik mit beispielsweise 241 Vollzeitäquivalenten und € 60 Mio. Jahresumsatz (Jahresbilanz € 55 Mio. Jahresbilanz) fällt in den Anwendungsbereich der NIS2- Richtlinie.
  • Auch Anbieter von digitalen Diensten laut Anhang II der NIS2-Richtlinie sind betroffen. Der Begriff der digitalen Dienste beinhaltet Suchmaschinen, Online-Marktplätze und soziale Netzwerke:
    Somit fallen auch mittlere und große Reiseveranstalter und Reisebüros, als sogenannte Anbieter digitaler Dienste unter NIS2, wenn sie einen Onlinemarktplatz betreiben.
    "Online-Marktplatz" ist ein Dienst, der es Verbrauchern durch die Verwendung von Software, einschließlich einer Website, eines Teils einer Website oder einer Anwendung, die vom oder im Namen des Gewerbetreibenden betrieben wird, ermöglicht, Fernabsatzverträge mit anderen Gewerbetreibenden oder Verbrauchern, abzuschließen.  
    Vermitteln mittlere und große Reisebüros oder Reiseveranstalter über ihre Website Reiseleistungen von anderen Unternehmen (z.B. Reisebüro XY vermittelt eine Pauschalreise des Reiseveranstalters Z, Reiseveranstalter A vermittelt über seine Website einen Flug der Airline B), liegt wohl ein Online-Marktplatz im Sinne von NIS2 vor.  
    Reiseveranstalter, die über ihre Website hingegen ausschließlich eigene Leistungen verkaufen, fallen unseres Erachtens nicht unter die Definition eines Online-Marktplatzes. 
  • Auch im Bereich Kino, Kultur und Freizeit können Betriebe betroffen sein, wenn sie einen online Marktplatz betreiben. Beispielsweise bei Vermittlungen von Online-Tickets, wenn Unternehmer, auf ihrer Website Leistungen (z.B. Konzerttickets, Theaterkarten etc.) von Dritten anbieten, und ein mittleres oder großes Unternehmen sind.
  • Fitnessbetriebe: Fraglich ist, ob Fitnessbetreibe unter den Sektor "Gesundheitsdienstleistungen" fallen können. Derzeit gibt es noch keine gesetzliche Definition, was unter Gesundheitsdienstleistern zu verstehen ist. Nach derzeitigem Stand des Wissens vertreten wir die Ansicht, dass Fitnessbetriebe nicht in den Anwendungsbereich der NIS2- Richtlinie fallen.
  • Hotels sind grundsätzlich nicht direkt vom Anwendungsbereich der NIS2 Richtlinie umfasst. Allerdings nur, wenn sie keine Bereiche der oben genannten Sektoren bedienen.
  • Betriebe, die Reservierungen durch Buchungstools auf ihrer Website ermöglichen, fallen nicht in den Anwendungsbereich, unabhängig davon, ob in weiterer Folge ein Vertrag zustande kommt oder nicht.
  • Die Buchungstools fallen nur in den Anwendungsbereich der NIS2-Richtlinie, wenn sie Dienstleistungen/Produkte Dritter anbieten und durch die Buchung ein Vertag mit dem Dritten zustande kommt.

Hinweis:
Die Zusammenfassung basiert auf der NIS2-Richtlinie und dem aktuellen Wissensstand. Eine nationale Umsetzung steht noch aus und muss auf diese gewartet werden, um fragliche Punkte abschließend beurteilen zu können. Alle Rechtsauskünfte werden von der WKO nach bestem Wissen und Gewissen erteilt und basieren auf den zum jeweiligen Zeitpunkt gesicherten Informationen. Die WKO übernimmt für die Richtigkeit der Auskünfte keine Haftung.