Die neue NIS-2-Richtlinie

Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) stellt die Nachfolgerin der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz -und Informationssystemen in der Union (NIS-Richtlinie) dar und wird diese inhaltlich endgültig mit 18. Oktober 2024 ersetzen. Der Rechtstext der NIS-2-Richtlinie ist in sämtlichen Amtssprachen der EU abrufbar.

Die NIS-2-Richtlinie soll den bestehenden regulatorischen Defiziten, die sich beispielsweise aus der unterschiedlichen Umsetzung der NIS-Richtlinie in den Mitgliedstaaten der EU ergaben, harmonisierend besser entgegenwirken. Die grundlegende Zielsetzung der NIS-2-Richtlinie bleibt im Vergleich zur NIS-Richtlinie sinngemäß bestehen, nämlich in der Schaffung eines hohen gemeinsamen Niveaus der Cybersicherheit in der EU, dies aber in einem modernisierten Rechtsrahmen.

Hierzu legt die NIS-2-Richtlinie insbesondere Folgendes fest:

  • die Pflicht für alle Mitgliedstaaten, nationale Cybersicherheitsstrategien zu verabschieden (Art. 7 NIS-2-RL)
  • die Pflicht für alle Mitgliedstaaten, zuständige nationale Behörden (Art. 8 NIS-2-RL), Behörden für das Cyberkrisenmanagement (Art. 9 NIS-2-RL), zentrale Anlaufstellen für Cybersicherheit (Art. 8 NIS-2-RL) und Computer-Notfallteams (Art. 10 NIS-2-RL) zu benennen oder einzurichten
  • Pflichten in Bezug auf das Cybersicherheitsrisikomanagement (Art. 20 ff NIS-2-RL) sowie Berichtspflichten (Art. 23 NIS-2-RL) für betroffene Einrichtungen
  • Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen (Art. 29 f NIS-2-RL)
  • Aufsichts- und Durchsetzungspflichten für die MS (Art. 31 ff NIS-2-RL)

Die NIS-2-Richtlinie ist am 16. Jänner 2023 in Kraft getreten und ist von den Mitgliedstaaten bis zum 17. Oktober 2024 umzusetzen. Mit der Umsetzung der NIS-2-Richtlinie in Österreich bedarf auch die bestehende Systematik rund um das NISG (siehe hierzu "Rechtliches und Dokumente") einer Anpassung.

Der Anwendungsbereich der NIS-2-Richtlinie

Die NIS-2-Richtlinie sieht für die Frage des Anwendungsbereichs ("Wer fällt rein?") grundsätzlich eine "Size-Cap-Rule" vor. Danach gilt die NIS-2-Richtlinie für öffentliche oder private Einrichtungen der in den zugehörigen Anhängen I (Sektoren mit hoher Kritikalität) und II (Sonstige kritische Sektoren) genannten Art, die die in Art. 2 Abs. 1 des Anhangs der Empfehlung 2003/361/EG genannten Obergrenzen für mittlere Unternehmen erreichen oder überschreiten und ihre Dienstleistungen in der Union erbringen oder ihre Tätigkeiten dort ausüben.

Artikel 2 der Empfehlung 2003/361/EG 
Mitarbeiterzahlen und finanzielle Schwellenwerte zur Definition der Unternehmensklassen

  1. Die Größenklasse der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) setzt sich aus Unternehmen zusammen, die weniger als 250 Personen beschäftigen und die entweder einen Jahresumsatz von höchstens 50 Millionen Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Millionen Euro beläuft.
  2. Innerhalb der Kategorie der KMU wird ein kleines Unternehmen als ein Unternehmen definiert, das weniger als 50 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 10 Millionen Euro nicht übersteigt.
  3. Innerhalb der Kategorie der KMU wird ein Kleinstunternehmen als ein Unternehmen definiert, das weniger als 10 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 2 Millionen Euro nicht überschreitet.

Gemäß Art. 2 und Art. 3 der NIS-2-Richtlinie können Einrichtungen aber auch unabhängig von der Größe und der "Size-Cap-Rule" in den Anwendungsbereich der NIS-2-Richtlinie fallen.

Im Unterschied zur NIS-Richtlinie kategorisiert die NIS-2-Richtlinie betroffene Einrichtungen nun in "wesentliche Einrichtungen", die einer strengeren ex-ante und ex-post Aufsicht (Art. 32 NIS-2-RL), sowie "wichtige Einrichtungen", die nur einer ex-post Aufsicht (Art. 33 NIS-2-RL) unterliegen sollen.

Weitere Informationen und Anlaufstellen

  • Fragen und Antworten zu NIS-2-Richtlinie
  • NIS-2-Richtlinie (EurLex)
  • Empfehlung 2003/361/EG (EurLex)
  • Inhaltsverzeichnis zur NIS-2-Richtlinie (PDF)
  • WKO:  
    Die Wirtschaftskammer Österreich hat einen Online-Ratgeber zum Thema "NIS 2 – ist mein Unternehmen betroffen?" erstellt. Der Online-Ratgeber dient als Orientierungshilfe dafür, ob ein Unternehmen möglicherweise von den Regelungen der NIS-2-RL erfasst sein könnte. 
    Zum Online-Ratgeber der WKO
  • CSP
    Die Cyber Sicherheit Plattform ist die zentrale Plattform Österreichs für die Kooperation zwischen privatem und öffentlichem Sektor in Sachen Cybersicherheit mit starker Beteiligung der Betreiber kritischer Infrastrukturen. 
    Kontakt CSP Sekretariat: csp@bka.gv.at
  • NCC-AT:
    Das Nationale Koordinierungszentrum für Cybersicherheit (NCC-AT) wird vom Bundeskanzleramt mit Unterstützung der Österreichischen Forschungsförderungsgesellschaft (FFG) umgesetzt.
    Die Ausschreibung Cyber Security Schecks 2023, eine NCC-AT-Maßnahme, unterstützt Unternehmen dabei, Sicherheitsmaßnahmen zu NIS-2 umzusetzen.
    Weitere Informationen finden Sie unter NCC-AT Cyber Security Schecks
    Kontakt: ncc@bka.gv.atncc@ffg.at