Allgemeine Informationen zu NIS-2

NIS steht für die Sicherheit der Netz- und Informationssysteme. Derzeit gilt die NIS-Richtlinie aus 2016, die in Österreich mit dem NIS-Gesetz umgesetzt wurde. Die derzeit geltenden Regelungen betreffen vorwiegend Unternehmen der kritischen Infrastruktur und Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste). Die NIS-2-Richtlinie ist am 16. Jänner 2023 in Kraft getreten und wird die derzeit geltende Richtlinie zur Netz- und Informationssystemsicherheit (NIS-Richtlinie) ersetzen. Die Mitgliedstaaten müssen die Richtlinie bis 17. Oktober 2024 umsetzen.

Die NIS-2-Richtlinie soll die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU verbessern. Der bisherige Anwendungsbereich der NIS-Richtlinie nach Sektoren wird mit NIS-2 auf einen größeren Teil der Wirtschaft ausgeweitet, um eine umfassende Abdeckung jener Sektoren und Dienste zu gewährleisten, die im Binnenmarkt für grundlegende gesellschaftliche und wirtschaftliche Tätigkeiten von entscheidender Bedeutung sind. Betroffene Einrichtungen müssen daher geeignete Risikomanagementmaßnahmen für die Sicherheit ihrer Netz- und Informationssysteme treffen und unterliegen Meldepflichten.

Betroffen sind große Unternehmen mit mindestens 250 Beschäftigten oder über 50 Millionen Euro Jahresumsatz und über 43 Millionen Euro Jahresbilanzsumme sowie mittlere Unternehmen mit 50 bis 249 Beschäftigten oder zwischen zehn und 50 Millionen Euro Jahresumsatz bzw. zwischen zehn und 43 Millionen Euro Jahresbilanzsumme. Kleine Unternehmen (unter 50 Beschäftigte und unter 10 Millionen Euro Jahresumsatz und unter 10 Millionen Euro Jahresbilanzsumme) fallen grundsätzlich nicht unter NIS-2. Bei Unternehmen, deren Tätigkeit auf eine Schlüsselrolle für Gesellschaft, Wirtschaft oder für bestimmte Sektoren hindeutet, sieht die Richtlinie für kleine Unternehmen Sonderregeln vor.

Der Anwendungsbereich von NIS-2 umfasst 18 Sektoren, wobei zwischen "Sektoren mit hoher Kritikalität" und "sonstigen kritischen Sektoren" unterschieden wird. Zu Ersteren zählen Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum. "Sonstige kritische Sektoren" umfassen Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes/herstellendes Gewerbe, Anbieter digitaler Dienste und Forschung.

Als wesentliche Einrichtungen gelten große Unternehmen, die einem der "Sektoren mit hoher Kritikalität" zuzurechnen sind. Mittlere Unternehmen dieser Sektoren gelten als wichtige Einrichtungen. Ebenso gelten große und mittlere Unternehmen aus "sonstigen kritischen Sektoren" als wichtige Einrichtungen. Kleinunternehmen sind grundsätzlich nicht im direkten Anwendungsbereich, können aber über Sonderbestimmungen im Anwendungsbereich oder über die Lieferkette betroffen sein.

Ob man als Unternehmen eine wesentliche oder eine wichtige Einrichtung im Sinne der Richtlinie ist, macht bei der Umsetzung der geforderten Sicherheitsmaßnahmen keinen Unterschied. Es gibt jedoch Unterschiede bei der Aufsicht und den Sanktionen. Bei wesentlichen Einrichtungen erfolgen u. a. regelmäßige und gezielte Sicherheitsprüfungen ("ex-ante"), Stichprobenkontrollen und der Bußgeldrahmen beträgt bis zu 10 Millionen Euro oder bis zu 2 Prozent des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist). Bei wichtigen Einrichtungen finden Überprüfungen vor Ort sowie externe nachträgliche Aufsichtsmaßnahmen nur bei begründetem Verdacht ("ex-post") statt. Der Bußgeldrahmen beträgt bis zu 7 Millionen Euro oder bis zu 1,4 Prozent des weltweiten Umsatzes.

Mit der NIS-2-Richtlinie wird ein europaweit hohes Sicherheitsniveau von Netz- und Informationssystemen erreicht und somit die Resilienz der Europäischen Union gestärkt. Viele Unternehmen haben die Bedeutung und Notwendigkeit wirksamer und umfangreicher Risikomanagementmaßnahmen erkannt und früh in den Schutz vor Bedrohungen und die Reaktion auf Cybersicherheitsvorfälle investiert. Unternehmen, die unter NIS-2 fallen, müssen künftig unter anderem einen Prozess zur Meldung von Cybersicherheitsvorfällen implementieren sowie Konzepte zum Risikomanagement und zur Sicherheit von Netz- und Informationssystemen erarbeiten.

Die NIS-2-Richtlinie verpflichtet Unternehmen, Risikomanagementmaßnahmen für ein hohes Cybersicherheitsniveau zu ergreifen. Unternehmen, die sich rechtswidrig nicht an die vorgegebenen Regelungen halten, haben je nach Unternehmensform und Tätigkeitsbereich mit einer Geldstrafe von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes zu rechnen. Zusätzlich kann die zuständige Behörde Anweisungen zur Behebung von Sicherheitsmängeln erteilen. Bei Zuwiderhandlung können Zertifizierungen und Genehmigungen für Dienste und Tätigkeiten der betroffenen Unternehmen ausgesetzt werden. Neu ist auch, dass künftig die Einhaltung des Risikomanagements von Leitungsorganen überwacht werden muss und diese bei Verstößen verantwortlich gemacht werden können.

Fällt Ihr Unternehmen in den Anwendungsbereich von NIS-2 müssen Sie sich bei der zuständigen Behörde registrieren lassen. Darüber hinaus sind die Vorschriften, die sich aus der Richtlinie bzw. der nationalen Umsetzung ebendieser ergeben, einzuhalten. Dazu gehört einerseits die Umsetzung von Risikomanagementmaßnahmen. Diese umfassen technische, operative und organisatorische Risikomanagementmaßnahmen, die die Risiken für die Sicherheit der Netz- und Informationssysteme beherrschbar machen und die Auswirkungen von Cybersicherheitsvorfällen verhindern.

Dazu zählen unter anderem:

• die Entwicklung von Konzepten für Risikoanalysen und die Sicherheit von Informationssystemen sowie Konzepte und Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
• Maßnahmen, die zur Erkennung und Minimierung von Sicherheitsvorfällen beitragen
• die Sicherstellung der Geschäftskontinuität durch Backup- und Krisenmanagementmaßnahmen
• Maßnahmen zur Gewährleistung der Sicherheit der Lieferketten
• Cyberhygieneverfahren sowie Schulungen, Fort- und Weiterbildungen im Bereich der Cybersicherheit
• der Einsatz von Kryptografie und Verschlüsselungstechnologie
• Personalsicherheit, Zugriffskontrollen und Management von Anlagen
• Lösungen für Multi-Faktor-Authentifizierungen oder kontinuierliche Authentifizierungen
• die Verwendung von sicherer Sprach-, Video- und Textkommunikation

Andererseits haben Unternehmen bei Cybersicherheitsvorfällen, die eine schwerwiegende Betriebsstörung hervorrufen, Meldepflichten zu beachten. Nach der Problemerkennung besteht ein 24-Stunden-Zeitfenster, in dem gemeldet werden muss, ob der Vorfall auf einer rechtswidrigen oder böswilligen Handlung beruht bzw. grenzübergreifende Auswirkungen haben kann (= Frühwarnung). Binnen 72 Stunden ist eine erste Einschätzung des Cybersicherheitsvorfalls abzugeben. Ein Monat nach der Meldung ist ein Zwischen- bzw. Abschlussbericht mit einer ausführlichen Beschreibung des Cybersicherheitsvorfalls zu übermitteln.

Unternehmen fallen nicht mehr ausschließlichen mit ihrem wesentlichen Dienst unter die gesetzlichen Regelungen. Vielmehr sind notwendige Risikomanagementmaßnahmen für das gesamte Unternehmen zu ergreifen.

Durch die NIS-2-Richtlinie werden die Aufsicht und Durchsetzung der Richtlinienvorschriften verschärft. Der Behörde stehen künftig eine Vielzahl an Aufsichts- und Durchsetzungsmaßnahmen zur Verfügung, um die Resilienz von Netz- und Informationssystemen der Unternehmen sicherzustellen.
Auch in den Bereichen "Haftung" und "Strafen" gibt es Neuerungen, um der weitreichenden Bedeutung von Cybersicherheit für unsere Gesellschaft gerecht zu werden.

Mit der Umsetzung von NIS-2 signalisieren Unternehmen, dass sie im Bereich Cybersicherheit höchste europäische Standards erfüllen und vor Hacker-Angriffen bestmöglich geschützt sind. Ein verbessertes Sicherheitsniveau schützt Geschäftsprozesse und verringert das Risiko von Datenverlusten oder Betriebsausfällen. NIS-2-Unternehmen stärken das Vertrauen von Geschäfts- und Kundenbeziehungen und positionieren sich als zukunftsfitte Player am digitalen Markt.